Junior Member
Вес репутации
62
Trojan.NtRootKit.248,BackDoorBulknet
Постоянно выскакивают сообщения DrWeb o заражении новых файлов трояном и бэкдором, а также иногда появляется "синий экран". При сканировании Веб постоянно находит зараженные файлы - все удаляю,но позже опять появляются.Все сделал по правилам и приложил нужные файлы.
Вложения
Последний раз редактировалось Artem; 24.07.2007 в 22:31 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
QuarantineFile('C:\DOCUME~1\A24E~1\LOCALS~1\Temp\KYE\Setup.exe','');
QuarantineFile('C:\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('C:\WINDOWS\system32\dla\tfswctrl.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('runtime');
DeleteFile('C:\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
профиксите
Код:
2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://82.207.82.136/activex/AxisCamControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
пришлите карантин согласно приложению 3 правил ...
Последний раз редактировалось V_Bond; 25.07.2007 в 00:44 .
Надо отключить "Восстановление системы". Иначе лечение будет очень долгим.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
Отключил "восстановление системы",скрипт выполнил,пофиксил, карантин прислал.
для проверки потребуется некоторое время ...
Добавлено через 25 минут
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Последний раз редактировалось V_Bond; 26.07.2007 в 20:28 .
Причина: Добавлено сообщение
Junior Member
Вес репутации
62
выполнил скрипт - система не перезагрузилась - повисла. Что надо повторить - прислать карантин ?
Junior Member
Вес репутации
62
Вложения
из карантина AVZ пришлите файл...C:\WINDOWS\system\Config\1025\SysTray.ocx
Junior Member
Вес репутации
62
спасибо за уделенное время, файл прислал...
странно архив битый... попробуйте еще раз...
Junior Member
Вес репутации
62
по Avast Win32:Spyware-gen. ...
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system\Config\1025\SysTray.ocx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Junior Member
Вес репутации
62
Вложения
C:\Program Files\RegetDx\iebar.dll
C:\Program Files\rtnews\tbrtne.dll єтими тулбарами пользуетесь (устанавливали ) ?
C:\Program Files\Brain Codec\uninst.exe -Adware.Generic нужная вам вещь ... ?
Junior Member
Вес репутации
62
Ничего не нужно.
Добавлено через 1 минуту
если только регетом пользуюсь иногда в местной сети
Последний раз редактировалось Artem; 26.07.2007 в 23:34 .
Причина: Добавлено сообщение
профиксите
Код:
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\RegetDx\iebar.dll
O3 - Toolbar: rtnews toolbar - {9d6b51ce-25c0-461c-893e-ff0ef332745c} - C:\Program Files\rtnews\tbrtne.dll
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\RegetDx\iebar.dll','');
QuarantineFile('C:\Program Files\rtnews\tbrtne.dll','');
QuarantineFile('C:\Program Files\Brain Codec\uninst.exe','');
DeleteFile('C:\Program Files\Brain Codec\uninst.exe');
ExecuteSysClean;
RebootWindows(true);
end.
как ощущения ?
Последний раз редактировалось V_Bond; 26.07.2007 в 23:49 .
Junior Member
Вес репутации
62
ок, сейчас сделаю...
Добавлено через 18 минут
все сделал, логи повторить ? Ощущения ? Чувствую себя чайником , остается полагаться на Ваши знания...
Последний раз редактировалось Artem; 27.07.2007 в 00:03 .
Причина: Добавлено сообщение
давайте контрольный выстрел ...логи
Junior Member
Вес репутации
62