Junior Member
Вес репутации
62
Trojan downloader
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
при загрузке создается C:\windows\temp\startdrv.exe
лезет в интернет C:\windows\system32\services.exe
а так же подозрительная активность Netbios, и еще 1 процесс n/a лезет на удаленный IP
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
ClearQuarantine;
BC_QrSvc('runtime2');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_Activate;
RebootWindows(true);
end.
Потом ещё один
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\Dark\Рабочий стол\remove.bat','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
Junior Member
Вес репутации
62
Батник remove.bat можно из автозагрузки убрать. Он теперь не нужен. А что это такое D:\Programs\Internet programs\Segodnya\shellProject.exe?
Мне не понравилась в логах вот эта строчка
Код:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
Сделайте пожалуйста ещё один лог, как написано здесь .
Радмин сами ставили?
Junior Member
Вес репутации
62
Да, РАдмин ставил, там стоит пароль, все ок
ШеллПроджект - ето в делфи написанная прога для чтения новостей с сайта Сегодня
Логи собирал в безопасном режиме
буду делать новые.......
Понял... Сделайте просто логи в обычном режиме.
Junior Member
Вес репутации
62
Вложения
зря вы на мой самодельный "антивирус" (remove.bat) грешили
Откуда же я мог знать, что это ваш "антивирус"?
мне вот еще интерестно что это? ->
n/a UDP 255.255.255.255 BOOTPC Allow DHCP ВХОД 213 байт/с
(лог фаервола)
че ему там нада ?
Это Вам расскажут пользователи Outpost. Что-то не могу понять, пропустил он или запретил
В логах все чисто.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Junior Member
Вес репутации
62
Закачал вам базу, огромное спасибо за помощь !
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\temp\\startdrv.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)