Показано с 1 по 14 из 14.

backdoor.bulknet и Trojan.Sespy (заявка № 11121)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Москва, МО
    Сообщений
    25
    Вес репутации
    39

    Thumbs up backdoor.bulknet и Trojan.Sespy

    Др. Вэб 4.33, обновление баз от 09.07.2007. Обнаруживает в ip6fw.sys - backdoor.bulknet и в y2.dll & y2(2).dll – Trojan.Sespy. Лечение или удаление второго случая приводит к полному падению IE, «Невозможно отобразить страницу» даже для файлов, сохраненных на винте, никакие танцы с бубном после этого не помогают, только виндовское восстановление системы. Первый после удаления, естественно восстанавливается руткитом.

    Никакой вредной активности за червями не замечено, однако, неприятно.
    Что делать, подскажите, пожалуйста?

    P.S. У меня НТФС и Вин ХР СП2. Файер – Аутпост 4.0.1007. Настроен по мере моих скромных сил, т. к. смутно понимаю суть работы файера.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Москва, МО
    Сообщений
    25
    Вес репутации
    39
    Сделал, сразу не стал потому как боялся падения IE, только потом сообразил, что из карантина АВЗ этот клятый у2 ресторить можно...
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     BC_QrSvc('runtime');
     BC_QrSvc('runtime2');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\y2.dll','');
     DeleteFile('C:\WINDOWS\system32\y2.dll');  
     AutoFixSPI;
     BC_ImportDeletedList;
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Москва, МО
    Сообщений
    25
    Вес репутации
    39
    Карантин закинул по ссылке сверху, вот логи после выполнения указанных скриптов.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\system32\y2.dll');
     BC_Activate;
     ExecuteSysClean;
     ExecuteRepair(14);  
     RebootWindows(true);
    end.
    Повторите логи.

    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Москва, МО
    Сообщений
    25
    Вес репутации
    39
    Вот новые логи. В этот раз IE не упал и SockFix юзать не пришлось.
    Смена в 2 заканчивается, ухожу спать. Все дальнейшие рецепты смогу применить после 7 вечера.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_QrSvc('AotoLogon');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('AotoLogon');
     BC_DeleteFile('C:\WINDOWS\svchost.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11121
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Москва, МО
    Сообщений
    25
    Вес репутации
    39
    Карантин скинул, вот логи.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    C:\WINDOWS\svchost.exe - Rootkit.Win32.Agent.dp (по Касперскому)
    Его мы удалили,теперь в логах всё чисто.
    Советую работать за компьютером с правами ограниченного пользователя.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Москва, МО
    Сообщений
    25
    Вес репутации
    39
    Muzzle,
    Maxim, Спсаибо, без IE, к сожалению, не обойтись.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Тогда хотя бы заплатки ставьте.

  14. #13
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Москва, МО
    Сообщений
    25
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Тогда хотя бы заплатки ставьте.
    Какие конкретно можете посоветовать?
    Инет через диал-ап, в настройках вырублен весь АктивХ.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
      2. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
      3. c:\\windows\\system32\\y2.dll - Trojan-Downloader.Win32.Agent.but (DrWEB: Trojan.Sespy)


  • Уважаемый(ая) Brandon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Bulknet и trojan.ntrootkit.248
      От Vointorf в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:00
    2. Trojan backdoor.bulknet
      От AlexanderL в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:54
    3. Trojan.NtRootKit.248 + BackDoor.Bulknet
      От Valchara в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:54
    4. Backdoor.Bulknet и Trojan.NtRootKit.248
      От Gray в разделе Помогите!
      Ответов: 60
      Последнее сообщение: 22.02.2009, 01:52
    5. Trojan.Fakealert.1228+BackDoor.Bulknet.225+Trojan. Packed.619
      От Rlumiur в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.09.2008, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00523 seconds with 17 queries