Показано с 1 по 12 из 12.

Backdoor.Bulknet (заявка № 16784)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37

    Question Backdoor.Bulknet

    Вот такая гадость завелась пока антивирус не стоял, теепрь не знаю как избавиться. Дрвеб вроде трет но при каждом запуске снова находит. Помогите плз.
    Последний раз редактировалось aspu; 08.04.2011 в 13:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    На время выполнения скрипта, отключите восстановление системы, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Ggq05');
     SetServiceStart('Ggq05', 4);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ggq05', 'Start');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ggq05.sys','');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ggq05.sys');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Ggq05');
    BC_ImportquarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=16784 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    Угу мне этот Ggq сразу не понравился но выдрать его не могу никак даж в сейф моде. ВИдимо придется с LiveCD. Карантил отправил, новые логи прилагаются. Диск I это флешка. После выполнения скрипта и перезагрузки оказалась зараженной. Авторан с ссылкой на Setup.exe
    Последний раз редактировалось aspu; 08.04.2011 в 13:15.

  5. #4
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    Setup этот ДРвебом не определяется. Вирустотал показывает такую картинку
    http://www. virustotal. com/ru/analisis/e1db35f4b6bb8df989571b1af5ff5d67

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Попробуйте так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('I:\autorun.inf');
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ggq05\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\system32\Drivers\Ggq05.sys');
     BC_DeleteSvc('Ggq05');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ggq05.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки, снова повторите логи, начиная с п. 10 правил, и, если карантин не пустой, загрузите его повторно.

  7. #6
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    Карантин пустой
    Последний раз редактировалось aspu; 08.04.2011 в 13:15.

  8. #7
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    После выполнения последнего скрипта 'C:\WINDOWS\system32\Drivers\Ggq05.sys' пропал. Дрвеб обнаружил и удалил smtpdrv.sys в той же папке и Nb02.tmp в папке TEMP.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Мда... Откуда-то появилась еще одна запись Давайте попробуем еще один скрипт:
    Код:
    begin
     BC_DeleteSvc('Ouo37');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ouo37.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки, повторите логи. Того злодея, что запускается через autorun.inf, чистить так, как написано здесь: http://virusinfo.info/showthread.php?t=8877

  10. #9
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    Результатики
    Последний раз редактировалось aspu; 08.04.2011 в 13:15.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    В логах всё нормально. Проблем больше нет?

  12. #11
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    В диспетчере служб AVZ нашел еще одну гадость там же в драйверах (ctl_w32.sys), удалил ее через аналогичный скрипт и теперь вроде все чисто. Спасибо огромное за помощь.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 0
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) aspu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.Bulknet.507
      От DianaSt в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 31.10.2010, 11:27
    2. backdoor.bulknet.417
      От Vovius в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.07.2010, 15:44
    3. BackDoor.Bulknet.320
      От vlad_1976 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.09.2009, 15:11
    4. Лечить BackDoor.Bulknet.216
      От bizon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.07.2008, 16:59
    5. BackDoor.Bulknet.157
      От monul в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.03.2008, 01:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00338 seconds with 16 queries