Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Backdoor.bulknet.157 не удаляется (заявка № 19776)

  1. #1
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37

    Exclamation Backdoor.bulknet.157 не удаляется

    Здравствуйте. Утилитой CureIt в безопасном режиме удаляю подобные файлы, но после перезагрузки все повторяется. Svchost.exe соединен с кучей адресов и идет бешеный входящий трафик.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
      BC_DeleteSvc('Sxd16');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd16.sys','');
      BC_DeleteSvc('Hmr84');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr84.sys','');
      BC_DeleteSvc('Lqv51');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv51.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Lqv51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Hmr84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd16.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Карантин прислал.
    Вложения Вложения

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      SetServiceStart('Lqv51', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv51.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Lqv51.sys');
     BC_ImportALL;
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteSvc('Lqv51');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19776

    Добавлено через 1 минуту

    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    Повторите логи.
    Последний раз редактировалось akoK; 14.03.2008 в 16:01. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Карантин выслал, через пару минут будут логи.

  7. #6
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Прикрепить к предыдущему почему-то не получилось.
    Вложения Вложения

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Скачайте IceSword.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Lqv51.sys.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".
    Перезагрузите компьютер.
    Выполните скрипт в посте №4

    Повторите логи.
    Microsoft Most Valuable Professional in Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    В Hijackthis пофиксенная О20 появляется после каждой перезагрузки.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в IceSword удалите ...
    C:\WINDOWS\system32\Drivers\Cim83.sys
    C:\WINDOWS\system32\WLCtrl32.dll
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Cim83');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Cim83.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Cim83.sys');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  11. #10
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Рядом с файлом WLCtrl32.dll лежит WLCtrl32.dl_
    С ним что-то делать ?

  12. #11
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Логи.
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от DonRumata Посмотреть сообщение
    Рядом с файлом WLCtrl32.dll лежит WLCtrl32.dl_
    С ним что-то делать ?
    В карантин через AVZ добавить и прислать на проверку. Скорее всего, копия зловреда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Выслал.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Живучий гад попался, все его части на месте сидят.

    WLCtrl32.dl_ - Симантек влет убил, сказал :Trojan.Pandex
    Значит это еще одна его часть.
    Убиваем в IceSword C:\WINDOWS\System32\Drivers\Hmr51.sys,WLCtrl32.dl_ ,
    WLCtrl32.dll
    Затем бьем скриптом:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     Clearhostsfile;
     StopService('Hmr51');
     SetServiceStart('Hmr51', 4);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr51.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Hmr51.sys');
     DeleteFile('WLCtrl32.dl_');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После этого новые логи с п.10

    З.Ы. "Трудно быть богом", а?
    Последний раз редактировалось PavelA; 14.03.2008 в 18:38.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Порывшись в реестре нашел следующие ссылочки на WLCtrl32

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
    ключ DLLName со значением WLCtrl32.dll

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager
    ключ PendingFileRenameOperations со значением \??\C:\WINDOWS\System32\WLCtrl32.dl_
    !\??\C:\WINDOWS\System32\WLCtrl32.dll

    Особенно интересным мне показался второй ключ с переименованием. Может тут собака порылась ? Может стоит попробовать убить ссылки в реестре на эту дрянь ?

    P.S. Приветствую Вас, Благородный Дон Гуг ))))))

  17. #16
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Логи.
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Логи сообщением выше. А в реестре эти строки уже исчезли.

    Сообщения исчезают что-то...

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Лекарство сработало. Следов не видно.
    Единственное что может перестать работать lineage. Надо будет его заново в файл hosts вписывать.

    WLCtrl32.dl_ - Trojan-Downloader.Win32.Agent.ldb (по Касперскому) для справки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    14.03.2008
    Сообщений
    12
    Вес репутации
    37
    Спасибо, Доны )

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Посмотри в карантине нет ли 'C:\WINDOWS\System32\Drivers\Hmr51.sys'

    Если найдется, пришли.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) DonRumata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. не удаляется вирус BackDoor.Bulknet.417 (заявка №26287)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 28.07.2010, 23:00
    2. BackDoor.Bulknet.320
      От vlad_1976 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.09.2009, 15:11
    3. не удаляется backdoor.bulknet.157
      От suby в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:20
    4. Лечить BackDoor.Bulknet.216
      От bizon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.07.2008, 16:59
    5. Не удаляется BackDoor.Bulknet.157!
      От Zillli в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.03.2008, 19:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01341 seconds with 17 queries