Junior Member
Вес репутации
58
Поймал руткит-спамбот Bulknet
Доброго времени суток. У меня начал вырубаться интернет, то есть странички не открывались, почта не ходила. NOD32 периодически находил вирусню типа Win**^^, где ** - латинские буквы от a до z, а ^^ - цифры. Полазил по интернету нашёл ваш сайт с темой неизвестный пожиратель трафика, очень похожая проблема.
Проверял NOD-ом - уже ничего не находит, Cureit скачать нет возможности. Сделал как указано в правилах, логи прилагаю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строку:
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winhn38.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winio27.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winnt84.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winou40.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winrx62.sys');
DeleteService('Winrx62');
DeleteService('Winou40');
DeleteService('Winnt84');
DeleteService('Winio27');
DeleteService('Winhn38');
DeleteService('wscsvcNtLmSsp');
DeleteService('AudioSrvWmiApSrv');
DeleteService('SharedAccess BackItUp Scheduler 3');
BC_DeleteSvc('Winrx62');
BC_DeleteSvc('Winou40');
BC_DeleteSvc('Winnt84');
BC_DeleteSvc('Winio27');
BC_DeleteSvc('Winhn38');
BC_DeleteSvc('wscsvcNtLmSsp');
BC_DeleteSvc('AudioSrvWmiApSrv');
BC_DeleteSvc('SharedAccess BackItUp Scheduler 3');
BC_Activate;
ExecuteSysClean;
executerepair(1);
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28536 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Junior Member
Вес репутации
58
Вложения
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('stisvcHTTPFilter');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новые логи, начиная с пункта 10 правил.
Junior Member
Вес репутации
58
Вложения
В логах чисто.
Вот это Вам знакомо?:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D10B95A-0015-40A0-8185-18CD3FAB32C7}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D10B95A-0015-40A0-8185-18CD3FAB32C7}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D10B95A-0015-40A0-8185-18CD3FAB32C7}: NameServer = 85.255.113.194,85.255.112.177
Если незнакомо, то пофиксите в HijackThis эти строчки.
Какие-то проблемы остались?
Junior Member
Вес репутации
58
Пока всё отлично. Огромное спасибо за оперативность.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.x (DrWEB: Trojan.DownLoad.3503)