lamauser Опубликовано 5 декабря, 2007 Жалоба Поделиться Опубликовано 5 декабря, 2007 Всем привет :) Вообщем, подхватил тут засранчегов…. К сути…. При включение компа Др.веб орет благим матом и сообщает буквально следующие 1)C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.NtRootKit.497 2)C:\WINDOWS\System32\drivers\runtime.sys - инфицирован BackDoor.Bulknet жмем удалить ..вроде умолкает подключаемся к инету, жмем на IE и тут же получаем третьего красавца 3)C:\Temp\167625.exe - инфицирован BackDoor.Bulknet.100 Жмем удалить… умолкает Однако, перегрузившись пункты 1-3 выполняются заново, только цифровая комбинация у 3го другая, повторять можно до безззззконечности.. :1eye: П.с восстановление отключено. Вообщем и вебом, и адаваркой, и спайдогом, и авз проходился…в обычном и безопасном режиме….выдумывал скрипты из серии begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\System32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\Temp\167625.exe'); ExecuteSysClean; BC_Activate; AutoFixSPI; RebootWindows(true); end. Выслушав все мои доводы, вирусы поржали и сказали, что жить будут тут и их вообще ничего не волнует. :g: Логи прилагаю, смотрите, комментируете, особого внимания заслуживает лог осам….там вообще без пол литра не разберешься.. У меня лично остался ход один, создать свои файлы ip6fw.sys и runtime.sys чтоб бэкап не проходил, вот чего с рандомным именем делать, пока не придумал :D Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 5 декабря, 2007 Автор Жалоба Поделиться Опубликовано 5 декабря, 2007 ну и в качестве завершающего штриха, скрин портовой активности..ведущейся разумеется без моего разрешения. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 5 декабря, 2007 Жалоба Поделиться Опубликовано 5 декабря, 2007 "startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) Обрати внимание. Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 5 декабря, 2007 Автор Жалоба Поделиться Опубликовано 5 декабря, 2007 "startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) Обрати внимание. этого вчера ночью вынес вот таким образом begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; BC_Activate; AutoFixSPI; RebootWindows(true); end. чаво делать то?) "startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) он в осаме числится как пустой..но дизаблить его не могу...галочка убиратся не хочет... Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 у меня такое ощущение что у тебя ось - друшлаг и они к тебе залезать будут дальше если ты не пропатчишь ось и не поставишь фаер. попробуй либо загрузиться в безопасном режиме либо с загрузочного диска с антивирусом. Попробуй в безопасном режиме пройтись вот этим Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 1 скрипт: beginBC_QrFile('C:\WINDOWS\Temp\startdrv.exe');BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');BC_QrFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_DeleteSvc('runtime');BC_DeleteSvc('runtime2');BC_DeleteSvc('Ip6Fw');BC_DeleteSvc('ctl_w32');BC_Activate;RebootWindows(true);end. 2 скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. Этот exe-шник в Temp запакуйте вручную в архив и архив залейте на dump.ru - посмотрим PS: По Вашим скриптам: 1. Зачем в скрипте AutoFixSPI? :g: 2. BC_DeleteFile и ExecuteSysClean вместе не работают... Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 6 декабря, 2007 Автор Жалоба Поделиться Опубликовано 6 декабря, 2007 1 скрипт 2 скрипт Этот exe-шник в Temp запакуйте вручную в архив и архив залейте на dump.ru - посмотрим PS: По Вашим скриптам: 1. Зачем в скрипте AutoFixSPI? 2. BC_DeleteFile и ExecuteSysClean вместе не работают... 1.сделаем. 2.смысл сего действа, если startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) нет этой лабуды на компе, во всяком случае по указаному маршруту точно, поиск через AVZ тоже не находит его. 3. скрипты кривые из-за моей криворукости :g: to Loader Др вебом в безопасно режиме проходился за час до создания этой темы, cureit вообще ничего не нашол, правда запускался в обычном режиме.... ты не повериш, но стоит и фаер, и когда за компом я..то и вируса ко мне почему то не лезут... но как оказывается, фаер...антивирус..спайдог.. очень сильно мешают некоторым другим пользователям компа при поиске сочинений, картинок и прочей фигни...а уж почитать предупреждения выводимые этими прогами при скачивании..заходе на сайты..это вообще ппц какая сложная задача....поэтому тут не патчить надо, а шнур питания на работу с собой уносить.... Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 Просто runtime ip6fw и startdrv всегда идут вместе... тут набор действий стандартный Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 6 декабря, 2007 Автор Жалоба Поделиться Опубликовано 6 декабря, 2007 Просто runtime ip6fw и startdrv всегда идут вместе... тут набор действий стандартный ну так он и был в комплекте, просто он оказался менее стойким к моим потугам :g: новая пачка логов новая пачка логов сорри что не тут, просто обьем прикрепленых фаилов исчерпал рискну предположить что чисто, я ничего крамольного кроме как C:\WINDOWS\System32\Drivers\sptd.sys он просто красный в осаме :g: Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 Чисто. sptd.sys - это Алкоголь\Даемон тулз Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 7 декабря, 2007 Автор Жалоба Поделиться Опубликовано 7 декабря, 2007 Чисто. sptd.sys - это Алкоголь\Даемон тулз спасибо Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти