Показано с 1 по 8 из 8.

BN??.TMP (заявка № 19853)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    37

    Thumbs up BN??.TMP

    Здравствуйте,
    в С:\WINDOWS\System32\Темр
    расплодились файлы BN??.ТМР.
    COMODO сообщает, что они лезут в Интернет.
    Помогите, пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('ZZZdrv_lich');
     BC_DeleteSvc('Ykx16');
     BC_DeleteSvc('Ygg45');
     BC_DeleteSvc('Xwm52');
     BC_DeleteSvc('Wts87');
     BC_DeleteSvc('Wqo25');
     BC_DeleteSvc('Wej67');
     BC_DeleteSvc('Vym61');
     BC_DeleteSvc('Vef05');
     BC_DeleteSvc('Uul37');
     BC_DeleteSvc('Utq41');
     BC_DeleteSvc('Uly02');
     BC_DeleteSvc('Uaf32');
     BC_DeleteSvc('Txc85');
     BC_DeleteSvc('Ttk23');
     BC_DeleteSvc('Tqx65');
     BC_DeleteSvc('Swe40');
     BC_DeleteSvc('Snx48');
     BC_DeleteSvc('Sca32');
     BC_DeleteSvc('Rws88');
     BC_DeleteSvc('Rsi55');
     BC_DeleteSvc('Rab05');
     BC_DeleteSvc('Qsf43');
     BC_DeleteSvc('Qmg20');
     BC_DeleteSvc('Pni24');
     BC_DeleteSvc('Pmm43');
     BC_DeleteSvc('Pks33');
     BC_DeleteSvc('Pdx16');
     BC_DeleteSvc('Pcr26');
     BC_DeleteSvc('Otp30');
     BC_DeleteSvc('Oja88');
     BC_DeleteSvc('Nkr50');
     BC_DeleteSvc('Mnw85');
     BC_DeleteSvc('Mky83');
     BC_DeleteSvc('Mkx78');
     BC_DeleteSvc('Mjk31');
     BC_DeleteSvc('Lpq12');
     BC_DeleteSvc('Kue27');
     BC_DeleteSvc('Jwv03');
     BC_DeleteSvc('Jvd06');
     BC_DeleteSvc('Jjd35');
     BC_DeleteSvc('Jdv08');
     BC_DeleteSvc('Jdr00');
     BC_DeleteSvc('Its21');
     BC_DeleteSvc('Ira43');
     BC_DeleteSvc('Imt47');
     BC_DeleteSvc('Hoo51');
     BC_DeleteSvc('Hfv60');
     BC_DeleteSvc('Hdl73');
     BC_DeleteSvc('Haq20');
     BC_DeleteSvc('Haj26');
     BC_DeleteSvc('Gqw14');
     BC_DeleteSvc('Gkp50');
     BC_DeleteSvc('Gfv74');
     BC_DeleteSvc('Fxo34');
     BC_DeleteSvc('Fte21');
     BC_DeleteSvc('Fry33');
     BC_DeleteSvc('Ffq88');
     BC_DeleteSvc('Eks71');
     BC_DeleteSvc('Ekc78');
     BC_DeleteSvc('Edo36');
     BC_DeleteSvc('Ean25');
     BC_DeleteSvc('Csh66');
     BC_DeleteSvc('Cly17');
     BC_DeleteSvc('Che78');
     BC_DeleteSvc('Bjj44');
     BC_DeleteSvc('Bfk83');
     BC_DeleteSvc('Bfe85');
     BC_DeleteSvc('Awn20');
     BC_DeleteSvc('Awe35');
     BC_DeleteSvc('Avk77');
     BC_DeleteSvc('Asy12');
     BC_DeleteSvc('Agg48');
     BC_DeleteSvc('Aap16');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2. Выполните второй скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Eta46');
     SetServiceStart('Eta46', 4);
     QuarantineFile('c:\1D02.tmp','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Eta46.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\BN14.tmp','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\msnethlp.dll','');
     QuarantineFile('c:\windows\system32\appmgmtss.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\TEMP\BN14.tmp');
     DeleteFile('C:\WINDOWS\System32\drivers\Eta46.sys');
     DeleteFile('c:\1D02.tmp');
    BC_ImportALL;
    BC_DeleteSvc('Eta46');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3. Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19853).

    4. Обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    37
    Спасибо за отклик.
    Оба скрипта успешно выполнила.
    Карантин отправила.
    Логи прилагаю.
    Очень жду инструкций.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Все получилось отлично, осталось подчистить кое-что по мелочи.

    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('Yax01');
    BC_DeleteSvc('Hxs78');
    BC_DeleteSvc('Dcb54');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Добавлено через 11 минут

    Откройте Проводник или Мой компьютер, выберите в меню Сервис - Свойства папки, на вкладке Вид снимите галку Скрывать расширения для зарегистрированных.
    Откройте Блокнот, скопируйте и вставьте туда следующий текст:
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
    "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
      74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
      00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
      6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
    Сохраните файл и измените ему расширение на .reg, затем запустите его двойным щелчком. На вопрос о добавлении в реестр ответить положительно. Галку верните обратно.

    После этого сделайте новые логи, начиная с п.10 правил.

    Добавлено через 48 минут

    Очистите полностью папку C:\WINDOWS\TEMP - есть предположение, что там еще могут быть вредоносные bn??.tmp, да и вообще полезно почистить "мусоросборник".
    Попробуйте также поискать через AVZ - Сервис - Поиск файлов на диске, задав маску поиска bn??.tmp и область - диск С:. Если что-то найдется - удаляйте.
    (Karlson - спасибо за подсказку).
    Последний раз редактировалось Bratez; 15.03.2008 в 14:21. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    37
    Спасибо.
    Здорово, когда есть кто-то, кто поможет справиться с бедой.
    А вдвойне приятно, когда этот кто-то знает как с ней, зловредной, справиться!
    Докладываю:
    1. Пофиксила.
    2. Скрипт выполнила.
    3. Галку сняла.
    4. Добавила текст в реестр.
    (Ой, галку обратно не вернула...
    Сейчас отвечу - и верну. Надеюсь, что это не страшно)
    5. Логи прикрепляю.
    6. И только хотела спросить, что делать с кучей этих BN...TMPов, которые остались в TEMP, а Вы уже добавили разъяснение.
    Еще раз спасибо. И Карлсону я тоже очень благодарна.
    УРА!

    7. Поискала BN*.TMP через AVZ - нет! Ура еще раз!
    (Галку вернула)
    Вложения Вложения
    Последний раз редактировалось Мiшелька; 15.03.2008 в 15:43. Причина: добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Теперь все чисто.

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    37
    Хорошо.
    Еще раз - СПАСИБО!
    И УРА!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. \\bn14f.tmp - Trojan.Win32.Agent.apck (DrWEB: BackDoor.Bulknet.320)
      2. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.kif (DrWEB: Trojan.DownLoader.49451)
      3. c:\\windows\\temp\\bn14.tmp - Trojan-Downloader.Win32.Agent.leu (DrWEB: Trojan.DownLoader.50217)
      4. \\wscui.cpl - not-a-virus:FraudTool.Win32.XPSecurityCenter.bt (DrWEB: Trojan.Fakealert.208


  • Уважаемый(ая) Мiшелька, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00137 seconds with 16 queries