Здравствуйте. DrWeb находит BackDoor.Bulknet.157, удаляет, но при перезагрузке все повторяется. Пожалуйста помогите.
Здравствуйте. DrWeb находит BackDoor.Bulknet.157, удаляет, но при перезагрузке все повторяется. Пожалуйста помогите.
Последний раз редактировалось monul; 17.03.2008 в 19:17.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\6.tmp/r',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xhq32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rah64.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qbk76.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qaj77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nvd07.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Mvf76.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jpw18.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt42.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fox61.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0000\~df394b.tmp',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0000\~dec142.tmp',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\SolidWorksLicTemp.0001',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Fox61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gnt42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jpw18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Mvf76.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nvd07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qaj77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qbk76.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rah64.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xhq32.sys'); DeleteFile('c:\6.tmp/r'); BC_ImportAll; BC_DeleteSvc('symavc32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19602
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O4 - HKLM\..\Run: [advap32] c:\6.tmp/r O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Спасибо за оперативную помощь, карантин отправил. Не могу найти строчку "O4 - HKLM\..\Run: [advap32] c:\6.tmp/r"
Ну и ладно. Значит, AVZ почистила.
WLCtrl32.dll - Trojan-Downloader.Win32.Agent.kvg по поводу Temp\SolidWorksLicTemp.0001.dir.0000\~df394b.tmp, SolidWorksLicTemp.0001.dir.0000\~dec142.tmp и SolidWorksLicTemp.0001 нужно подождать ответа аналитиков. Остальные в карантин не захотели. Сделайте новые логи посмотрим, все ли заведомо известные враги ушли.
еще раз огромное спасибо!
Уважаемый(ая) monul, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.