Решена BackDoor.IRC.Bot.173

kiwi

Новый пользователь
Сообщения
17
Реакции
0
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\ECGVDL7V\dd[1].exe - инфицирован BackDoor.IRC.Bot.173

C:\WINDOWS\system32\10.scr - инфицирован BackDoor.IRC.Bot.173

помогите избавиться от этой дряни:(
 
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."


Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.
 
gmer отказал в работе после 2х часов сканирования, щас попробую еще раз
 

Вложения

  • log.txt
    22.5 KB · Просмотры: 4
Модуль от Ask.com сами ставили?

Добавлено через 6 минут 37 секунд
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

NetSvc::
wegfmj
jcwxv
misan
Driver::
wegfmj
jcwxv
misan
krhqawv
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3924:TCP"=-
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif


Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Проверьте систему TDSS Killer, для удобства воспользуйтесь Quick Killer
 
.
 

Вложения

  • gmer.log
    146.1 KB · Просмотры: 1
В логе гмер ничего вредоносного не вижу.
 
кстати, буквально за пару часов до того как я обнаружил у себя данный вирус, мой комп поймал баннер, через "плагин для просмотра видео на страницах", т.к. он отрубил мне доступ к интернету, локальной сети, диспетчеру задачь и антивирусника (нод32) то пришлось откатывать систему! и в сетевых настройках стало появляться левое подключение к internet на ip адрес назначения 00, удалял но оно появлялось сново, сейчас появляться перестало...,а на диске C:\ появился файл типа re4rwc6eraw7.exe (с иконкой черепа) касперский его занес в карантин но не удалил (удалял несколько раз в ручную) на данный момент его тоже нету
 

Вложения

  • ComboFix.txt
    14.6 KB · Просмотры: 1
что тут? так и должно быть?
 

Вложения

  • 1.bmp
    676 KB · Просмотры: 5
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\docume~1\White\LOCALS~1\Temp\NRHCB1.tmp
Driver::
GarenaPEngine
Folder::

Registry::

FileLook::


DirLook::
c:\program files\Ufasoft\Sniffer\
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 55 секунд
что тут? так и должно быть?
Утилита ничего не нашла, это хорошо.
 
.
 

Вложения

  • log2.txt
    13.9 KB · Просмотры: 2
Что с проблемами?
 
C:\WINDOWS\system32\x - инфицирован Win32.HLLW.Shadow.based
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\Y31U9M78\nolssqha[1].gif - инфицирован Win32.HLLW.Shadow.based

вот что щас нашлось...удалил...пока старый не объявлялся
 
Да, я видел следы KIDO, и снял активное заражение.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
Combofix-unninstal.JPG


И проверьте систему Kido Killer
 
связь с интернетом стала обрываться, приходится переподключаться...и опера перестала работать, вылетает ошибка, переустанавливал не помагло
 
Давайте еще посмотрим логи AVZ и RSIT

Добавлено через 25 минут 17 секунд
В карантине CF обнаружено:
**.scr - Trojan.Win32.Agent.dlqs (BackDoor.IRC.Bot.173)


Adware.FieryAds.29
Trojan.AdSubscribe.92


Вы получали от друзей или знакомых по ICQ ссылку на фотографию с расширением *scr? Если да, то после лечения необходимо сменить все пароли т.к., на борту этой фотографии находится Trojan-PSW.Win32.LdPinch.amhh (или его модификации).

Вот пример результат анализа вредоноса который попал мне в руки:
foto015.scr - Trojan-PSW.Win32.VB.bmq
и в ней (фотографии)
exploreee.exe - Trojan-PSW.Win32.LdPinch.amhh
svcgoost.exe - Trojan.Win32.VkHost.rk
 
логи avz
Не могу вам точно сказать получал ли я ссылку на фотографию с расширением *scr т.к. компьютером пользуется вся семья...
Пароли асек, мыла и прочии?
 

Вложения

  • avz_log2.txt
    178 байт · Просмотры: 1
  • avz_log.txt
    4.2 KB · Просмотры: 1
RSIT
 

Вложения

  • info.txt
    11.3 KB · Просмотры: 0
  • log.txt
    29.4 KB · Просмотры: 3
Логи немного не те.

Нужны файлы из папки Log в папке c AVZ

Добавлено через 20 секунд
Пароли асек, мыла и прочии?
Да.

Добавлено через 5 минут 43 секунды
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\m5k1r3r5y2j8.exe
C:\WINDOWS\system32\drivers\xfgn.exe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Microsoft Driver Setup"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\System32\52.scr"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Добавлено через 2 минуты 23 секунды
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
 
avz Логи
 

Вложения

  • virusinfo_syscheck.zip
    24.3 KB · Просмотры: 1
  • virusinfo_syscure.zip
    25.4 KB · Просмотры: 2
  • virusinfo_cure.zip
    22 байт · Просмотры: 0
Назад
Сверху Снизу