Решена BackDoor.IRC.Bot.173

[kiwi]

C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\ECGVDL7V\dd[1].exe - инфицирован BackDoor.IRC.Bot.173

C:\WINDOWS\system32\10.scr - инфицирован BackDoor.IRC.Bot.173

помогите избавиться от этой дряни

 

[akok]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."


Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.

 

[kiwi]

gmer отказал в работе после 2х часов сканирования, щас попробую еще раз

 

[akok]

Модуль от Ask.com сами ставили?

Добавлено через 6 минут 37 секунд
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

NetSvc::
wegfmj
jcwxv
misan
Driver::
wegfmj
jcwxv
misan
krhqawv
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3924:TCP"=-

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Проверьте систему TDSS Killer, для удобства воспользуйтесь Quick Killer

 

[kiwi]

Конечно

 

[kiwi]

.

 

[akok]

В логе гмер ничего вредоносного не вижу.

 

[kiwi]

кстати, буквально за пару часов до того как я обнаружил у себя данный вирус, мой комп поймал баннер, через "плагин для просмотра видео на страницах", т.к. он отрубил мне доступ к интернету, локальной сети, диспетчеру задачь и антивирусника (нод32) то пришлось откатывать систему! и в сетевых настройках стало появляться левое подключение к internet на ip адрес назначения 00, удалял но оно появлялось сново, сейчас появляться перестало...,а на диске C:\ появился файл типа re4rwc6eraw7.exe (с иконкой черепа) касперский его занес в карантин но не удалил (удалял несколько раз в ручную) на данный момент его тоже нету

 

[kiwi]

что тут? так и должно быть?

 

[akok]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\docume~1\White\LOCALS~1\Temp\NRHCB1.tmp
Driver::
GarenaPEngine
Folder::

Registry::

FileLook::


DirLook::
c:\program files\Ufasoft\Sniffer\

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 55 секунд

что тут? так и должно быть?

Утилита ничего не нашла, это хорошо.

 

[kiwi]

.

 

[akok]

Что с проблемами?

 

[kiwi]

C:\WINDOWS\system32\x - инфицирован Win32.HLLW.Shadow.based
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\Y31U9M78\nolssqha[1].gif - инфицирован Win32.HLLW.Shadow.based

вот что щас нашлось...удалил...пока старый не объявлялся

 

[akok]

Да, я видел следы KIDO, и снял активное заражение.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

И проверьте систему Kido Killer

 

[kiwi]

связь с интернетом стала обрываться, приходится переподключаться...и опера перестала работать, вылетает ошибка, переустанавливал не помагло

 

[akok]

Давайте еще посмотрим логи AVZ и RSIT

Добавлено через 25 минут 17 секунд
В карантине CF обнаружено:
**.scr - Trojan.Win32.Agent.dlqs (BackDoor.IRC.Bot.173)


Adware.FieryAds.29
Trojan.AdSubscribe.92


Вы получали от друзей или знакомых по ICQ ссылку на фотографию с расширением *scr? Если да, то после лечения необходимо сменить все пароли т.к., на борту этой фотографии находится Trojan-PSW.Win32.LdPinch.amhh (или его модификации).

Вот пример результат анализа вредоноса который попал мне в руки:
foto015.scr - Trojan-PSW.Win32.VB.bmq
и в ней (фотографии)
exploreee.exe - Trojan-PSW.Win32.LdPinch.amhh
svcgoost.exe - Trojan.Win32.VkHost.rk

 

[kiwi]

логи avz
Не могу вам точно сказать получал ли я ссылку на фотографию с расширением *scr т.к. компьютером пользуется вся семья...
Пароли асек, мыла и прочии?

 

[kiwi]

RSIT

 

[akok]

Логи немного не те.

Нужны файлы из папки Log в папке c AVZ

Добавлено через 20 секунд

Пароли асек, мыла и прочии?

Да.

Добавлено через 5 минут 43 секунды
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\m5k1r3r5y2j8.exe
C:\WINDOWS\system32\drivers\xfgn.exe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Microsoft Driver Setup"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\System32\52.scr"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Добавлено через 2 минуты 23 секунды
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

[kiwi]

avz Логи