Смог сделать только один лог, его прилагаю.
В безопасном режиме CureIt находит
startdrv.exeC:\WINDOWS\TempBackDoor.Bulknet
Потом он опять появляется.
Жду совет!
Процесс qttask.exe занимает 99%
Смог сделать только один лог, его прилагаю.
В безопасном режиме CureIt находит
startdrv.exeC:\WINDOWS\TempBackDoor.Bulknet
Потом он опять появляется.
Жду совет!
Последний раз редактировалось tenzor; 01.07.2007 в 19:20.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\lsass.dll',''); QuarantineFile('C:\WINDOWS\system32\rpcc.exe',''); QuarantineFile('C:\WINDOWS\system32\rpcc.dll',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\temp\startdrv.exe,''); BC_ImportQuarantineList; BC_QrSvc('runtime2); BC_DeleteSvc('runtime2); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Скрипт выполнил, комп перезагрузился.
Стало легче - процессор не занят.
Карантин отправил, но похоже не все файлы попали - AVZ сообщал про попытку прямого чтения.
Надо ли отключать сканер SpiderGuard на время выполнения скриптов?
Выполните такой скрипт:
После перезагрузки сделайте все три лога по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\temp\startdrv.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Да, антивирус во время выполнения скриптов отключайте.
I am not young enough to know everything...
Скрипт волшебный выполнил,
C:\WINDOWS\temp\startdrv.exe
пропал и больше не появился.
Логи прилагаю.
Последний раз редактировалось tenzor; 04.07.2007 в 16:58.
Отлично. Пофиксите в HijackThis:
и дело сделаноКод:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\lsass.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
Добавлено через 1 минуту
Стоп! Не спешите, я одного пропустил, подождите!
Добавлено через 4 минуты
После фикса выполните скрипт:
После перезагрузки сделайте снова логи п.10-13 правил.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); BC_DeleteFile('C:\WINDOWS\svchost.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Если что-то попадет в карантин - пришлите по правилам.
Последний раз редактировалось Bratez; 01.07.2007 в 18:58. Причина: Добавлено сообщение
I am not young enough to know everything...
Пофиксил, скрипт выполнил.
Логи прилагаю.
В карантине только файл Мультилекса, но на всяк случай загружаю.
Последний раз редактировалось tenzor; 04.07.2007 в 16:58.
Теперь действительно чисто
I am not young enough to know everything...
Спасибо, Bratez, за помощь днем и ночью!
Уважаемый(ая) tenzor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
