Показано с 1 по 11 из 11.

BackDoor.Bulknet и Ко - немогу добить (заявка № 23076)

  1. #1
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    27
    Вес репутации
    36

    Thumbs up BackDoor.Bulknet и Ко - немогу добить

    Локальная сеть (4 ПК) подключены ч/з АДСЛ к иннету. В одно время начал пропадать иннет, большой выходной трафик забивал весь канал.
    ПК вычислили, отключили от сети и начали лечение.
    были обнаружены следующие вирусы:
    Trojan.NtRootKit
    Trojan.Inject
    Trojan.DownLoader
    BackDoor.Bulknet
    Trojan.PWS.Lich
    в разных колличествах (более подробный отчет Dr.Web CureiT могу прислать). В ходе лечения (на 16,05,0 удалось избавиться почти от всех, кроме:
    apcsvra.dll - Trojan.Inject
    qwc51.sys - BackDoor.Bulknet.188
    tcpsr.sys - Trojan.NtRootKit.1070
    сегодняшний скан CureiT-ом показал только один: vch05.sys - BackDoor.Bulknet.188 и ошибку BN3.tmp - ошибка приложения.
    после каждой перезагрузки, зараженный файл востанавливается, хотя Восстановление системы отключено...
    как можно добить заразу и восстановить работоспособность ПК...
    Заранее всем спасибо...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Vch05.sys
    и если есть - скопируйте сначала с помощью Copy to.. , а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\StartPortableApps.exe','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('monln.dll','');
     QuarantineFile('sysfldr.dll','');
     QuarantineFile('WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\load.exe/r','');
     QuarantineFile('C:\WINDOWS\TEMP\load.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vch84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vch52.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vch51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vch27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg62.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc74.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Oua27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Oua06.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lrx85.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gms63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Flq84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ekp38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Djp05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Cin17.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Bhm27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Agl40.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Vch05.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Vch05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Agl40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bhm27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bhn51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Cin17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Djp05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ekp38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Flq84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gmr38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gms63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lrw27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lrw63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lrx85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nsx27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oua06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oua27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Pvc74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qwc51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rxd05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rxd84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ubg62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vch27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vch51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vch52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vch84.sys');
     DeleteFile('C:\WINDOWS\TEMP\load.exe/r');
     DeleteFile('C:\WINDOWS\TEMP\load.exe');
     DeleteFile('WinNt32.dll');
     DeleteFile('sysfldr.dll');
     DeleteFile('C:\WINDOWS\System32\sysfldr.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Agl40');
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Vch05');
    BC_DeleteSvc('Flq84');
    BC_DeleteSvc('Ekp38');
    BC_DeleteSvc('Djp05');
    BC_DeleteSvc('Vch84');
    BC_DeleteSvc('Vch52');
    BC_DeleteSvc('Vch51');
    BC_DeleteSvc('Vch27');
    BC_DeleteSvc('Ubg62');
    BC_DeleteSvc('Rxd84');
    BC_DeleteSvc('Rxd05');
    BC_DeleteSvc('Qwc51');
    BC_DeleteSvc('Pvc74');
    BC_DeleteSvc('Gms63');
    BC_DeleteSvc('Gmr38');
    BC_DeleteSvc('Cin17');
    BC_DeleteSvc('Bhn51');
    BC_DeleteSvc('Bhm27');
    BC_DeleteSvc('Oua27');
    BC_DeleteSvc('Oua06');
    BC_DeleteSvc('Nsx27');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил и скопированный файл (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23076 ).

    Сделайте новые логи.
    Лечить надо все компьютеры из сети. Для каждого - отдельная тема.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    27
    Вес репутации
    36
    Извиняюсь, что не ответил сразу, ПК удален и только сегодня смог к нему подобраться...
    Вот результаты...
    файл C:\WINDOWS\system32\Drivers\Vch05.sys найти не смог... его нету, но это еще не все. Dr.Web CureiT теперь вообще не запускается, а Аvast или COMODO никаких вирусов вообще не видят...
    при этом сильно настораживает процес SPOOLS, который запускается во время каждого запуска Dr.Web CureiT/Аvast/COMODO в разных колличествах. При этом машина на долго уходит в раздумъя...
    ПК отключил от сети и забрал к себе, теперь могу доделать оперативно...
    заранее спасибо...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. С помощью Ice Sword, как описано выше, сделайте Force Delete для:
    C:\WINDOWS\SYSTEM32\WinNt32.dll
    C:\WINDOWS\system32\Drivers\Wdi63.sys

    2. Пофиксите в HijackThis:
    Код:
    O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - swin32.dll (file missing)
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\user\cftmon.exe
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\user\cftmon.exe
    O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\user\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\swin32.dll','');
     QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\system32\ftp34.dll');
     DeleteFile('C:\WINDOWS\system32\swin32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Wdi63.sys');
     DeleteFile('C:\Documents and Settings\user\cftmon.exe');
    BC_ImportALL;
     BC_DeleteSvc('apcsvra32');
     BC_DeleteSvc('Wdi63');
     BC_DeleteSvc('Schedule');
    ExecuteSysClean;
    ExecuteRepair(1);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Пришлите новый карантин по правилам.

    5. Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    27
    Вес репутации
    36
    карантин отправил...
    в операции 1. сделайте Force Delete для:
    C:\WINDOWS\SYSTEM32\WinNt32.dll
    был еще
    C:\WINDOWS\SYSTEM32\WinNt32.dl_ такой же по размеру...
    ему я тоже сделал Force Delete (предварительно скопировав...)
    все остальное четко по пунктах...
    заранее спасибо...
    кстати... файлы
    C:\WINDOWS\SYSTEM32\WinNt32.dll
    C:\WINDOWS\SYSTEM32\WinNt32.dl_
    C:\WINDOWS\system32\Drivers\Wdi63.sys
    для карантина нужны???
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    для карантина нужны???
    Да, пришлите по правилам на всякий случай.

    Логи сейчас гляну...

    Добавлено через 2 минуты

    В логах чисто.
    Какие-нибудь проблемы остались?
    Последний раз редактировалось Bratez; 23.05.2008 в 16:43. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    27
    Вес репутации
    36
    с проблемами еще не знаю... пока тестирую... но Dr.Web CureiT запускается... система работает быстро...
    карантин отсылаю...
    а можно поподробней в чем была проблема??? и какой зловред???

    Добавлено через 2 минуты

    с проблемами еще не знаю... пока тестирую... но Dr.Web CureiT запускается... система работает быстро...
    карантин отсылаю...
    а можно поподробней в чем была проблема??? и какой зловред???
    огромное спасибо за помощь...
    Последний раз редактировалось wintruder; 23.05.2008 в 16:52. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Вот такой букет:
    Trojan-Dropper.Win32.Agent.rek
    Trojan-Downloader.Win32.Mutant.yq
    Trojan-Downloader.Win32.Small.wby
    Trojan-Downloader.Win32.Small.vrw
    Trojan-Downloader.Win32.BHO.gv


    Добавлено через 45 секунд

    Это не считая первого карантина
    Последний раз редактировалось Bratez; 23.05.2008 в 17:00. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    27
    Вес репутации
    36
    спасибо... теперь поищу в иннете их описания... оч интересно так они попали...
    а их имена в кодировке касперского???

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Да все по классификации ЛК

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\user\\cftmon.exe - Trojan-Downloader.Win32.Small.wby (DrWEB: BackDoor.Siggen.7)
      2. c:\\windows\\system32\\drivers\\spools.exe - Trojan-Downloader.Win32.Small.wby (DrWEB: BackDoor.Siggen.7)
      3. c:\\windows\\system32\\ftp34.dll - Trojan-Downloader.Win32.Small.vrw (DrWEB: Trojan.DownLoader.61196)
      4. c:\\windows\\system32\\swin32.dll - Trojan-Downloader.Win32.BHO.gv (DrWEB: Trojan.Siggen.41)
      5. \\wdi63sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.18
      6. \\winnt32dl - Trojan-Downloader.Win32.Mutant.yq (DrWEB: BackDoor.Bulknet.203)
      7. \\winnt32dll - Trojan-Downloader.Win32.Mutant.yq (DrWEB: BackDoor.Bulknet.203)


  • Уважаемый(ая) wintruder, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.Bulknet.507
      От DianaSt в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 31.10.2010, 11:27
    2. BackDoor.Bulknet.320
      От vlad_1976 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.09.2009, 15:11
    3. Backdoor.Bulknet
      От aspu в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:33
    4. Лечить BackDoor.Bulknet.216
      От bizon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.07.2008, 16:59
    5. BackDoor.Bulknet.157
      От monul в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.03.2008, 01:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00039 seconds with 17 queries