-
Junior Member
- Вес репутации
- 61
Невозможно избавиться от BackDoor.Bulknet.55
Windows XP SP2
DrWeb 4.33
Outpost Firewall
Первый раз в Защищенном режиме сканер DrWeb нашел:
с: \windows\system32\dr ivers\ip6fw.sys
инфицирован Trojan.NtRootKit.319
с: \windows\system32\drivers\runtime.sys
инфицирован BackDoor.Bulknet
с: \windows\temp\startdrv.exe
инфицирован BackDoor.Bulknet.55
В последуюшие разы находит
с: \windows\system32\drivers\runtime.sys
инфицирован BackDoor.Bulknet
с: \windows\temp\startdrv.exe
инфицирован BackDoor.Bulknet.55
В реальном режиме Guard находит вирусы еще и в Темпе
C:\TEMP\192046.exe - инфицирован BackDoor.Bulknet
Делал все как в Правилах.
Пункты 8 и 10 невозможно выполнить в Реальном режиме - AVZ висит.
В Защищенном режиме создан в лог после 8 пункта, который не открывается Архиватором и помещены какие-то файлы в карантин.
10 пункт - лог не создан. Оба пункта в Защищенном режиме заканчиваются внезапной перегрузкой Винды, без предупреждения.
Отработали полностью только пункты 11-13
Если надо пришлю то, что в карантине.
Я знаю Вы такие Вирусы уже лечили, помогите пожалуйста и мне.
Заранее спасибо.
P.s. Все это делаю впервые, если что-то не так делаю - подскажите
Последний раз редактировалось OlegXON; 02.12.2007 в 22:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
OlegXON, уберите карантин из темы .... попробуйте выполнить лог как сказано здесь http://virusinfo.info/showthread.php?t=10387
-
-
Junior Member
- Вес репутации
- 61
Сейчас сделаю.
уберите карантин из темы - Это какие файлы?
-
virusinfo_cure.zip ... это карантин ...
-
-
Junior Member
- Вес репутации
- 61
Вкладывать файлы получается, убрать пока нет.
1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить. Этот пункт сработал.
2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол. Примерно на 20% проверки, комп рекзко перегрузился и файл протокола создан не был
-
давайте попробуем так ...
выполните скрипт ...
Код:
begin
QuarantineFile('C:\WINDOWS\system32\flcss.exe','');
QuarantineFile('C:\WINDOWS\system32\ausfjg.dll','');
QuarantineFile('C:\WINDOWS\system32\exporth.exe','');
QuarantineFile('C:\WINDOWS\system32\fci.exe','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
BC_ImportQuarantineList;
BC_Activate;
end.
пришлите карантин согласно приложения 3 правил ....
-
-
Junior Member
- Вес репутации
- 61
Сделал в Реальном режиме - не все файлы попали. Может в защищенном? И как увидеть, что файлы дошли? Нажимал в шапке -Прислать файлы
-
из того что попало в карантин ....
C:\WINDOWS\system32\ausfjg.dll Backdoor.Win32.Agent.adr Backdoor.Win32.Agent.adr
C:\WINDOWS\system32\exporth.exe Backdoor.Win32.IRCBot.abc
C:\WINDOWS\system32\flcss.exe
AVG 7.5.0.484 2007.08.22 Generic3.PMK
NOD32v2 2475 2007.08.22 probably unknown NewHeur_PE virus
Prevx1 V2 2007.08.22 Generic.Malware
-
-
Junior Member
- Вес репутации
- 61
-
давайте попробуем вслепую ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\flcss.exe');
DeleteFile('C:\WINDOWS\system32\ausfjg.dll');
DeleteFile('C:\WINDOWS\system32\exporth.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('msupdate');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
если скрипт не зависнет повторите логи ....
-
-
Junior Member
- Вес репутации
- 61
Висит в Реальном. Может Защищенный?
Добавлено через 4 минуты
Может сделать как в этом посте?
http://virusinfo.info/showthread.php...000#post129000
У меня такие же файлы с вирусами
startdrv.exe и runtime2.sys
Последний раз редактировалось OlegXON; 23.08.2007 в 00:09.
Причина: Добавлено
-
попробуйте в сафе моде ... .
-
-
Junior Member
- Вес репутации
- 61
Я хотел сразу попробовать, но в правилах написано не пользоваться чужими скриптами. Обычно я соблюдаю правила, если делаю что-то впервые
Добавлено через 1 минуту
А в каком режиме лучше. В Защищенном?
Последний раз редактировалось OlegXON; 23.08.2007 в 00:12.
Причина: Добавлено
-
да нет ,этот чужой нельзя....
-
-
Junior Member
- Вес репутации
- 61
А в каком режиме лучше. В Защищенном?
-
скрипт из поста 10 пробуйте запустить в защищенном ... если не получится мы его немного изменим....
-
-
Junior Member
- Вес репутации
- 61
ТОгда жду еще советов
Добавлено через 1 минуту
Сообщение от
V_Bond
скрипт из поста 10 пробуйте запустить в защищенном ... если не получится мы его немного изменим....
Сейчас попробую. А 10 пост это какой?
Последний раз редактировалось OlegXON; 23.08.2007 в 00:17.
Причина: Добавлено
-
выполняйте такой
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\flcss.exe');
DeleteFile('C:\WINDOWS\system32\ausfjg.dll');
DeleteFile('C:\WINDOWS\system32\exporth.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('msupdate');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 61
Ок. Попробуюв Сейфмоде
Добавлено через 51 минуту
Спасибо большое. Скрипт сработал. Пока все нормально. Ни в Сейф ни Реале ДрВеб вирусов не находит
Еще раз спасибо
Последний раз редактировалось OlegXON; 23.08.2007 в 01:14.
Причина: Добавлено
-
логи сделайте все по правилам ... посмотрим может еще кто остался....
-