-
Junior Member
- Вес репутации
- 62
BackDoor.Bulknet (он же Trojan-Downloader.Win32.Agent.brk?) - прошу помочь.
(вот эта дрянь сама вставилась: "w w w . b l a k o p . h k ")
=======================
После перезагрузки в папке C:\WINDOWS\Temp создается файл startdrv.еxe. DrWeb его опознает как зараженный BackDoor.Bulknet,
Касперский и F-Secure как Trojan-Downloader.Win32.Agent.brk (проверка на VirusTotal.com).
Из вредных действий заметен только большой исходящий трафик (чуть больше входящего).
Насколько я понял, идет автозапуск из реестра, а злобные модули это runtime2.sys и lanmandrv.sys.
Прошу помощи специалистов, чтобы не снести что полезное.
Последний раз редактировалось tenzor; 01.07.2007 в 17:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
@tenzor
Выполните скрипт:
begin
QuarantineFile('c:\windows\system32\tskill.dll','' );
QuarantineFile('atiddaxx.dll','');
QuarantineFile('\SystemRoot\system32\drivers\runti me2.sys','');
QuarantineFile('\??\C:\WINDOWS\System32\lanmandrv. sys','');
QuarantineFile('C:\WINDOWS\system32\RPCRT3.dll','' );
QuarantineFile('C:\WINDOWS\System32\rsvp322.dll',' ');
QuarantineFile('C:\WINDOWS\System32\ocxapi.dll','' );
QuarantineFile('c:\windows\system32\ocxloader.exe' ,'');
end.
и закачайте карантин по правилам
Последний раз редактировалось Макcим; 23.06.2007 в 16:26.
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнился не для всех файлов,
w w w . b l a k o p . h k[SIZE=2]Файлы из карантина отправляю, правильный лог в приложении.
=================================================
Ошибка карантина файла "c:\windows\system32\tskill.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "c:\windows\system32\tskill.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "atiddaxx.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "atiddaxx.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "\SystemRoot\system32\drivers\runtime2.sys", попытка прямого чтения
Ошибка карантина файла "C:\WINDOWS\system32\drivers\runtime2.sys", попытка прямого чтения
Ошибка карантина файла "\??\C:\WINDOWS\System32\lanmandrv. sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\System32\lanmandrv. sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
[SIZE=2]Файл "C:\WINDOWS\system32\RPCRT3.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\rpcrt3.dll
Файл "C:\WINDOWS\System32\rsvp322.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\rsvp322.dll
Файл "C:\WINDOWS\System32\ocxapi.dll" успешно помещен в карантин
Файл "c:\windows\system32\ocxloader.exe" успешно помещен в карантин
Последний раз редактировалось Макcим; 23.06.2007 в 16:25.
-
@tenzor
не попавшие файлы поместите в карантин вручную: АВЗ-Службы-Найти файл, отметить, Поместить в карантин. Удалять будем все разом
-
-
Junior Member
- Вес репутации
- 62
Если я правильно понял, надо использовать "Диспетчер служб и драйверов". В списке нашел только два файла – один из них lanmandrv. sys добавился в карантин, а runtime2.sys - нет (опять попытка прямого чтения).
Файлы c:\windows\system32\tskill.dll и atiddaxx.dll в списке "Диспетчера служб и драйверов" отсутствуют.
Карантин загружаю.
Последний раз редактировалось tenzor; 24.06.2007 в 22:46.
Причина: более ясное изложение
-
Антивирус при попытках карантина отключали?
-
-
Давай попробуем так:
Код:
begin
SetAVZGuardStatus(True);
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
SysCleanAddFile('atiddaxx.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Для начала убьем одного и мусор.
Затем в Safe Mode след. скрипт.
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\rsvp322.dll','');
QuarantineFile('C:\WINDOWS\System32\RPCRT3.dll','');
QuarantineFile('C:\WINDOWS\System32\ocxloader.exe','');
end.
Карантин надо будет прислать.
Плюс, скорее понадобиться http://www.softpedia.com/progDownloa...oad-15337.html
Ее необходимо скачать заранее.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
w w w . b l a k o p . h kАвтоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atiddaxx,DLLName ,atiddaxx.dll
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atiddaxx,DLLName ,atiddaxx.dll
Ошибка карантина файла "\??\C:\WINDOWS\System32\lanmandrv.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Файл "C:\WINDOWS\System32\lanmandrv.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\lanmandrv.sys
Файл "C:\WINDOWS\System32\rsvp322.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\rsvp322.dll
Файл "C:\WINDOWS\System32\RPCRT3.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\rpcrt3.dll
Файл "C:\WINDOWS\System32\ocxloader.exe" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\ocxloader.exe
.
-
lanmandrv.sys - инфицирован Rootkit.Win32.Agent.ec
rsvp322.dll - инфицирован Email-Worm.Win32.Zhelatin.fb
RPCRT3.dll - инфицирован Email-Worm.Win32.Zhelatin.fb
ocxloader.exe - инфицирован Trojan-Spy.Win32.Banker.cij
(по Касперскому )
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
DeleteFile('C:\WINDOWS\System32\RPCRT3.dll');
DeleteFile('C:\WINDOWS\System32\rsvp322.dll');
BC_DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
BC_DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
BC_DeleteFile('C:\WINDOWS\System32\RPCRT3.dll');
BC_DeleteFile('C:\WINDOWS\System32\rsvp322.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил.
После перезагрузки запускал winsockfix, который пообещал, что все будет хорошо.
Сейчас комп грузится, работы с сетью нет, в папке "сетевые подключения" пусто совсем.
Сетевая карта в диспетчере задач присутствует нормально. Посему пишу с другого компа.
Планирую установить XP сверху, надеюсь, что при установке восстановятся поврежденные/удаленные файлы. Логи смогу прислать только вечером (и XP тоже вечером буду ставить).
-
не торопитесь с переустановкой!
выполните скрипт
Код:
begin
ExecuteRepair(14);
end.
если сети так и не будет, то выполните
Код:
begin
ExecuteRepair(15);
end.
системные файлы можно восстановить
пуск--выполнить--cmd--sfc /scannow
потребуется диск с вашей копией windows.
-
-
Junior Member
- Вес репутации
- 62
Восстановление ExecuteRepair(14) и (15) сделал, сеть не появилась.
Вечерком попробую восстановить с помощью File Checker.
После этого (если не поможет) установка ХР поверх старой?
-
-
-
На всякий случай поискать C:\WINDOWS\System32\lanmanwrk.exe
Они с sys ходят парой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Спасибо за советы, статья от Microsoft мощная! Сейчас пойду выполнять.
-
и всё ещё ждём логи
-
-
Junior Member
- Вес репутации
- 62
Логов пока нет, выполняется SFC. Служба "Удаленный вызов процедур (RPC)" находится в состоянии "Запуск", соответственно от нее зависящие службы тоже не запускаются.
-
Junior Member
- Вес репутации
- 62
Все же решил запустить восстановление с диска ХР.
Похоже, все исправилось. Сеть есть, Drug&Drop работает, Панель задач появилась.
Логи прилагаю.
Последний раз редактировалось tenzor; 01.07.2007 в 17:43.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tskill.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите новый карантин по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил, карантин загружаю.
Вроде чисто, но еще сделаю сейчас свежие логи.