Решена BackDoor.IRC.Bot.173

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kiwi, 28 фев 2010.

  1. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\ECGVDL7V\dd[1].exe - инфицирован BackDoor.IRC.Bot.173

    C:\WINDOWS\system32\10.scr - инфицирован BackDoor.IRC.Bot.173

    помогите избавиться от этой дряни:(
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."


    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.
     
  3. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    gmer отказал в работе после 2х часов сканирования, щас попробую еще раз
     

    Вложения:

    • log.txt
      Размер файла:
      22,5 КБ
      Просмотров:
      4
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Модуль от Ask.com сами ставили?

    Добавлено через 6 минут 37 секунд
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::

    NetSvc::
    wegfmj
    jcwxv
    misan
    Driver::
    wegfmj
    jcwxv
    misan
    krhqawv
    Folder::

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3924:TCP"=-

     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Проверьте систему TDSS Killer, для удобства воспользуйтесь Quick Killer
     
  5. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Конечно
     
  6. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    .
     

    Вложения:

    • gmer.log
      Размер файла:
      146,1 КБ
      Просмотров:
      1
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    В логе гмер ничего вредоносного не вижу.
     
  8. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    кстати, буквально за пару часов до того как я обнаружил у себя данный вирус, мой комп поймал баннер, через "плагин для просмотра видео на страницах", т.к. он отрубил мне доступ к интернету, локальной сети, диспетчеру задачь и антивирусника (нод32) то пришлось откатывать систему! и в сетевых настройках стало появляться левое подключение к internet на ip адрес назначения 00, удалял но оно появлялось сново, сейчас появляться перестало...,а на диске C:\ появился файл типа re4rwc6eraw7.exe (с иконкой черепа) касперский его занес в карантин но не удалил (удалял несколько раз в ручную) на данный момент его тоже нету
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      14,6 КБ
      Просмотров:
      1
  9. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    что тут? так и должно быть?
     

    Вложения:

    • 1.bmp
      Размер файла:
      676 КБ
      Просмотров:
      5
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::
    c:\docume~1\White\LOCALS~1\Temp\NRHCB1.tmp
    Driver::
    GarenaPEngine
    Folder::

    Registry::

    FileLook::


    DirLook::
    c:\program files\Ufasoft\Sniffer\
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Добавлено через 55 секунд
    Утилита ничего не нашла, это хорошо.
     
  11. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    .
     

    Вложения:

    • log2.txt
      Размер файла:
      13,9 КБ
      Просмотров:
      2
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Что с проблемами?
     
  13. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    C:\WINDOWS\system32\x - инфицирован Win32.HLLW.Shadow.based
    C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\Y31U9M78\nolssqha[1].gif - инфицирован Win32.HLLW.Shadow.based

    вот что щас нашлось...удалил...пока старый не объявлялся
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Да, я видел следы KIDO, и снял активное заражение.

    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    И проверьте систему Kido Killer
     
  15. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    связь с интернетом стала обрываться, приходится переподключаться...и опера перестала работать, вылетает ошибка, переустанавливал не помагло
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Давайте еще посмотрим логи AVZ и RSIT

    Добавлено через 25 минут 17 секунд
    В карантине CF обнаружено:
    **.scr - Trojan.Win32.Agent.dlqs (BackDoor.IRC.Bot.173)


    Adware.FieryAds.29
    Trojan.AdSubscribe.92


    Вы получали от друзей или знакомых по ICQ ссылку на фотографию с расширением *scr? Если да, то после лечения необходимо сменить все пароли т.к., на борту этой фотографии находится Trojan-PSW.Win32.LdPinch.amhh (или его модификации).

    Вот пример результат анализа вредоноса который попал мне в руки:
    foto015.scr - Trojan-PSW.Win32.VB.bmq
    и в ней (фотографии)
    exploreee.exe - Trojan-PSW.Win32.LdPinch.amhh
    svcgoost.exe - Trojan.Win32.VkHost.rk
     
  17. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    логи avz
    Не могу вам точно сказать получал ли я ссылку на фотографию с расширением *scr т.к. компьютером пользуется вся семья...
    Пароли асек, мыла и прочии?
     

    Вложения:

    • avz_log.txt
      Размер файла:
      4,2 КБ
      Просмотров:
      1
    • avz_log2.txt
      Размер файла:
      178 байт
      Просмотров:
      1
  18. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    RSIT
     

    Вложения:

    • info.txt
      Размер файла:
      11,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      29,4 КБ
      Просмотров:
      3
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Логи немного не те.

    Нужны файлы из папки Log в папке c AVZ

    Добавлено через 20 секунд
    Да.

    Добавлено через 5 минут 43 секунды
    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\m5k1r3r5y2j8.exe
    C:\WINDOWS\system32\drivers\xfgn.exe
    :Reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "Microsoft Driver Setup"=-
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\WINDOWS\System32\52.scr"=-
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Добавлено через 2 минуты 23 секунды
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
     
  20. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    avz Логи
     

    Вложения:

Поделиться этой страницей