Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Вирусы пришли ко мне жить, и уходить явно не собираются


Рекомендуемые сообщения

Всем привет :)

Вообщем, подхватил тут засранчегов….

К сути….

При включение компа Др.веб орет благим матом и сообщает буквально следующие

1)C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.NtRootKit.497

2)C:\WINDOWS\System32\drivers\runtime.sys - инфицирован BackDoor.Bulknet

жмем удалить ..вроде умолкает

подключаемся к инету, жмем на IE и тут же получаем третьего красавца

3)C:\Temp\167625.exe - инфицирован BackDoor.Bulknet.100

Жмем удалить… умолкает

Однако, перегрузившись пункты 1-3 выполняются заново, только цифровая комбинация у 3го другая, повторять можно до безззззконечности.. :1eye:

П.с восстановление отключено.

Вообщем и вебом, и адаваркой, и спайдогом, и авз проходился…в обычном и безопасном режиме….выдумывал скрипты из серии

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_DeleteFile('C:\WINDOWS\System32\drivers\ip6fw.sys');

BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');

BC_DeleteFile('C:\Temp\167625.exe');

ExecuteSysClean;

BC_Activate;

AutoFixSPI;

RebootWindows(true);

end.

Выслушав все мои доводы, вирусы поржали и сказали, что жить будут тут и их вообще ничего не волнует. :g:

Логи прилагаю, смотрите, комментируете, особого внимания заслуживает лог осам….там вообще без пол литра не разберешься..

У меня лично остался ход один, создать свои файлы ip6fw.sys и runtime.sys чтоб бэкап не проходил, вот чего с рандомным именем делать, пока не придумал :D

Ссылка на комментарий
Поделиться на другие сайты

ну и в качестве завершающего штриха, скрин портовой активности..ведущейся разумеется без моего разрешения.

Ссылка на комментарий
Поделиться на другие сайты

"startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe  (File not found)

Обрати внимание.

этого вчера ночью вынес

вот таким образом

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');

ExecuteSysClean;

BC_Activate;

AutoFixSPI;

RebootWindows(true);

end.

чаво делать то?)

"startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe  (File not found)

он в осаме числится как пустой..но дизаблить его не могу...галочка убиратся не хочет...

Ссылка на комментарий
Поделиться на другие сайты

у меня такое ощущение что у тебя ось - друшлаг и они к тебе залезать будут дальше если ты не пропатчишь ось и не поставишь фаер.

попробуй либо загрузиться в безопасном режиме либо с загрузочного диска с антивирусом. Попробуй в безопасном режиме пройтись вот этим

Ссылка на комментарий
Поделиться на другие сайты

1 скрипт:

beginBC_QrFile('C:\WINDOWS\Temp\startdrv.exe');BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');BC_QrFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_DeleteSvc('runtime');BC_DeleteSvc('runtime2');BC_DeleteSvc('Ip6Fw');BC_DeleteSvc('ctl_w32');BC_Activate;RebootWindows(true);end.

2 скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

Этот exe-шник в Temp запакуйте вручную в архив и архив залейте на dump.ru - посмотрим

PS: По Вашим скриптам:

1. Зачем в скрипте AutoFixSPI? :g:

2. BC_DeleteFile и ExecuteSysClean вместе не работают...

Ссылка на комментарий
Поделиться на другие сайты

1 скрипт

2 скрипт

Этот exe-шник в Temp запакуйте вручную в архив и архив залейте на dump.ru - посмотрим

PS: По Вашим скриптам:

1. Зачем в скрипте AutoFixSPI? :thank1:

2. BC_DeleteFile и ExecuteSysClean вместе не работают...

1.сделаем.

2.смысл сего действа, если

startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found)

нет этой лабуды на компе, во всяком случае по указаному маршруту точно,

поиск через AVZ тоже не находит его.

3. скрипты кривые из-за моей криворукости :g:

to Loader

Др вебом в безопасно режиме проходился за час до создания этой темы, cureit вообще ничего не нашол, правда запускался в обычном режиме....

ты не повериш, но стоит и фаер, и когда за компом я..то и вируса ко мне почему то не лезут...

но как оказывается, фаер...антивирус..спайдог.. очень сильно мешают некоторым другим пользователям компа при поиске сочинений, картинок и прочей фигни...а уж почитать предупреждения выводимые этими прогами при скачивании..заходе на сайты..это вообще ппц какая сложная задача....поэтому тут не патчить надо, а шнур питания на работу с собой уносить....

Ссылка на комментарий
Поделиться на другие сайты

Просто runtime ip6fw и startdrv всегда идут вместе... тут набор действий стандартный

ну так он и был в комплекте, просто он оказался менее стойким к моим потугам :g:

новая пачка логов

новая пачка логов

сорри что не тут, просто обьем прикрепленых фаилов исчерпал :thank1:

рискну предположить что чисто, я ничего крамольного кроме как

C:\WINDOWS\System32\Drivers\sptd.sys

он просто красный в осаме :g:

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...