Показано с 1 по 18 из 18.

runtime.sys инфицирован BackDoor.Bulknet (заявка № 13967)

  1. #1
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38

    Thumbs up runtime.sys инфицирован BackDoor.Bulknet

    Добрый день уважаемые Хелперы!

    В последнюю неделю каждый раз после включения или перезагрузки ПК DrWeb ругаеться что runtime.sys инфицирован BackDoor.Bulknet. Я нажимаю "удалить", и антивирь грит что удалил его, но после перезагрузки выходит аналогичное сообщение. Иногда после включения комп вообще ни на что не реагирует (помогает только ресет).
    Несколько раз проверял весь диск, антивирь находил след. файлы:
    1) smtpdrv.sys C:\Windows\system32\drivers\ инфицирован Trojan. Nt RootKit 360
    2) Startdrv.exe C:\Windows\Temp инфицирован BackDoor.Bulknet 80 TrojanWin32.Pakes
    3) ip6fw.sys C:\Windows\system32\drivers\ инфицирован BackDoor.Bulknet
    4) Ещё в Моих документах в папке Temp нашёл файл 17258366.exe который инфицирован BackDoor.Bulknet

    После проверки все файлы удалились, сейчас антивирь ничё не находит. Проверку проводил DrWeb ом, AVZ, Ad-Aware SE с обновлениями. Но постоянно выходит сообщение runtime.sys инфицирован BackDoor.Bulknet, в добавок постоянно что-то ломится в инет, пользую GPRS, стоит подключить инет, как начинает накручивать трафик.
    После всех проверок сделал как написано в правилах, ниже выкладываю логи.

    Посмотрите пожалуйста что можно сделать, я рядовой пользователь, заранее благодарен за ответ!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта http://download.drweb.com/win и установите.

    Добавлено через 8 минут

    Отключитесь от сети.
    Закройте все другие программы.
    Отключите антивирус.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    Begin
    ClearQuarantine;
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Reset 5');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(false);
     end.
    Компьютер перезагрузится.
    Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.
    При создании архива карантина отключите антивирус.
    Загружать по ссылке http://virusinfo.info/upload_virus.php?tid=13967
    Сделайте новые логи и приложите их к вашей теме.
    Последний раз редактировалось AndreyKa; 08.11.2007 в 12:18. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38
    Сделал всё как просили, скачал новый DrWeb, после выполнения скрипта сообщение DrWeb об инфицировании runtime.sys перестало выходить, архив карантина отправил, выкладываю новые логи, извиняюсь что только два, третий не успел (комп рабочий ).
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Пофиксьте
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    и, не перегружаясь, выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Пришел карантин - пустой. Значит файла:
    C:\WINDOWS\System32\DRIVERS\smtpdrv.sys
    больше нет.

  7. #6
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38
    Добрый день! Строчку профиксил, скрипт выполнил как сказали, ниже логи, правда лог virusinfo_syscure.zip выполнить не удалось, AVZ после обновления за примерно 1 м и 20 сек. просто тупо вылетает... и всЁ .
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте такой лог:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38
    Сделал...
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('smtpdrv');
    BC_DeleteSvc('TSP');
    BC_Activate;
    RebootWindows(true);
    end.
    Можно еще пофиксить в HijackThis:
    Код:
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    Выполнению лога syscure вероятно могут мешать DrWeb и Outpost.
    Больше ничего плохого в логах нет.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38
    Да я пробовал и с ними и без них, т.е. отключал всё перечисленное, всё равно вылетает, а вчера всё ОК работало. Ну ладно, ща сделаю..

  12. #11
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38
    Пофиксил и выполнил скрипт, прилагаю логи... но опять только два, лог syscure прога AVZ опять сделать не смогла, на завершающем этапе, когда до завершения оставалось 2 м 32 с вышло сообщение:Ошибка сканирования, программе не удаёться произвести чтение с диска C:\Windows\installer\ далее набор букв и цифр.. Прога зависла, пришлось вырубать принудительно..
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Скорее всего сбойный кластер на жестком диске.
    I am not young enough to know everything...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Еще возможна проблема с логической структурой диска.
    Кнопка Пуск - Выполнить:
    chkdsk /f c:
    согласится (нажать клавишу Y) с проверкой при следующей загрузке.

  15. #14
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38
    На счёт кластера впринципе возможно, тем более хард не новый, да и в последнее время часто ресет приходилось нажимать из-за зависания системы. В понедельник проверю

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    Что из этого Вам не нужно?

  17. #16
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    8
    Вес репутации
    38
    В принципе кроме SSDP ничего не нужно. Жёский кстати проверил на наличие сбойных кластеров и логическую структуру..всё нормуль. Но проблема сегодня утром неожиданно решилась . Комп сегодня вообще не захотел загружаться, в самом начале загрузки определяеться проц..далее тест памяти и ВСЁЁ...висяк.. Хотя в пятницу ничего не предвещало такого конца, последнее что делал это пыталя сделать лог syscure который так и не получилось сделать. В итоге после нескольких попыток восстановить систему, просто поставил новый жёсткий диск с новой системой. Так что надеюсь больше проблемы с этими вирусами не будет.
    P.S. Баальшое спасибо всем кто ответил на мой пост

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) alex81, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 37
      Последнее сообщение: 11.06.2010, 17:23
    2. инфицирован BackDoor.IRC.Bot.132
      От Len_bars в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.09.2009, 20:42
    3. Ip6Fw.sys, runtime.sys (Trojan.NtRootKit.497, BackDoor.Bulknet)
      От Jura Gorohovsky в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:18
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 01:52
    5. runtime.sys инфицирован BackDoor.Bulknet
      От Egorka в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.11.2007, 22:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01496 seconds with 17 queries