lamauser Опубликовано 5 декабря, 2007 Жалоба Поделиться Опубликовано 5 декабря, 2007 Всем привет :) Вообщем, подхватил тут засранчегов…. К сути…. При включение компа Др.веб орет благим матом и сообщает буквально следующие 1)C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.NtRootKit.497 2)C:\WINDOWS\System32\drivers\runtime.sys - инфицирован BackDoor.Bulknet жмем удалить ..вроде умолкает подключаемся к инету, жмем на IE и тут же получаем третьего красавца 3)C:\Temp\167625.exe - инфицирован BackDoor.Bulknet.100 Жмем удалить… умолкает Однако, перегрузившись пункты 1-3 выполняются заново, только цифровая комбинация у 3го другая, повторять можно до безззззконечности.. :1eye: П.с восстановление отключено. Вообщем и вебом, и адаваркой, и спайдогом, и авз проходился…в обычном и безопасном режиме….выдумывал скрипты из серии begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\System32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\Temp\167625.exe'); ExecuteSysClean; BC_Activate; AutoFixSPI; RebootWindows(true); end. Выслушав все мои доводы, вирусы поржали и сказали, что жить будут тут и их вообще ничего не волнует. :g: Логи прилагаю, смотрите, комментируете, особого внимания заслуживает лог осам….там вообще без пол литра не разберешься.. У меня лично остался ход один, создать свои файлы ip6fw.sys и runtime.sys чтоб бэкап не проходил, вот чего с рандомным именем делать, пока не придумал :D Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 5 декабря, 2007 Автор Жалоба Поделиться Опубликовано 5 декабря, 2007 ну и в качестве завершающего штриха, скрин портовой активности..ведущейся разумеется без моего разрешения. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 5 декабря, 2007 Жалоба Поделиться Опубликовано 5 декабря, 2007 "startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) Обрати внимание. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 5 декабря, 2007 Автор Жалоба Поделиться Опубликовано 5 декабря, 2007 "startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) Обрати внимание. этого вчера ночью вынес вот таким образом begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; BC_Activate; AutoFixSPI; RebootWindows(true); end. чаво делать то?) "startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) он в осаме числится как пустой..но дизаблить его не могу...галочка убиратся не хочет... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 у меня такое ощущение что у тебя ось - друшлаг и они к тебе залезать будут дальше если ты не пропатчишь ось и не поставишь фаер. попробуй либо загрузиться в безопасном режиме либо с загрузочного диска с антивирусом. Попробуй в безопасном режиме пройтись вот этим Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 1 скрипт: beginBC_QrFile('C:\WINDOWS\Temp\startdrv.exe');BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');BC_QrFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_DeleteSvc('runtime');BC_DeleteSvc('runtime2');BC_DeleteSvc('Ip6Fw');BC_DeleteSvc('ctl_w32');BC_Activate;RebootWindows(true);end. 2 скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\Temp\startdrv.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. Этот exe-шник в Temp запакуйте вручную в архив и архив залейте на dump.ru - посмотрим PS: По Вашим скриптам: 1. Зачем в скрипте AutoFixSPI? :g: 2. BC_DeleteFile и ExecuteSysClean вместе не работают... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 6 декабря, 2007 Автор Жалоба Поделиться Опубликовано 6 декабря, 2007 1 скрипт 2 скрипт Этот exe-шник в Temp запакуйте вручную в архив и архив залейте на dump.ru - посмотрим PS: По Вашим скриптам: 1. Зачем в скрипте AutoFixSPI? 2. BC_DeleteFile и ExecuteSysClean вместе не работают... 1.сделаем. 2.смысл сего действа, если startdrv" - ? - C:\WINDOWS\Temp\startdrv.exe (File not found) нет этой лабуды на компе, во всяком случае по указаному маршруту точно, поиск через AVZ тоже не находит его. 3. скрипты кривые из-за моей криворукости :g: to Loader Др вебом в безопасно режиме проходился за час до создания этой темы, cureit вообще ничего не нашол, правда запускался в обычном режиме.... ты не повериш, но стоит и фаер, и когда за компом я..то и вируса ко мне почему то не лезут... но как оказывается, фаер...антивирус..спайдог.. очень сильно мешают некоторым другим пользователям компа при поиске сочинений, картинок и прочей фигни...а уж почитать предупреждения выводимые этими прогами при скачивании..заходе на сайты..это вообще ппц какая сложная задача....поэтому тут не патчить надо, а шнур питания на работу с собой уносить.... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 Просто runtime ip6fw и startdrv всегда идут вместе... тут набор действий стандартный Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 6 декабря, 2007 Автор Жалоба Поделиться Опубликовано 6 декабря, 2007 Просто runtime ip6fw и startdrv всегда идут вместе... тут набор действий стандартный ну так он и был в комплекте, просто он оказался менее стойким к моим потугам :g: новая пачка логов новая пачка логов сорри что не тут, просто обьем прикрепленых фаилов исчерпал рискну предположить что чисто, я ничего крамольного кроме как C:\WINDOWS\System32\Drivers\sptd.sys он просто красный в осаме :g: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 6 декабря, 2007 Жалоба Поделиться Опубликовано 6 декабря, 2007 Чисто. sptd.sys - это Алкоголь\Даемон тулз Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 7 декабря, 2007 Автор Жалоба Поделиться Опубликовано 7 декабря, 2007 Чисто. sptd.sys - это Алкоголь\Даемон тулз спасибо Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.