1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена BackDoor.IRC.Bot.173

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kiwi, 28 фев 2010.

  1. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\ECGVDL7V\dd[1].exe - инфицирован BackDoor.IRC.Bot.173

    C:\WINDOWS\system32\10.scr - инфицирован BackDoor.IRC.Bot.173

    помогите избавиться от этой дряни:(
     
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."


    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.
     
  4. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    gmer отказал в работе после 2х часов сканирования, щас попробую еще раз
     

    Вложения:

    • log.txt
      Размер файла:
      22,5 КБ
      Просмотров:
      4
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Модуль от Ask.com сами ставили?

    Добавлено через 6 минут 37 секунд
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::

    NetSvc::
    wegfmj
    jcwxv
    misan
    Driver::
    wegfmj
    jcwxv
    misan
    krhqawv
    Folder::

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3924:TCP"=-

     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Проверьте систему TDSS Killer, для удобства воспользуйтесь Quick Killer
     
  6. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    Конечно
     
  7. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    .
     

    Вложения:

    • gmer.log
      Размер файла:
      146,1 КБ
      Просмотров:
      1
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    В логе гмер ничего вредоносного не вижу.
     
  9. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    кстати, буквально за пару часов до того как я обнаружил у себя данный вирус, мой комп поймал баннер, через "плагин для просмотра видео на страницах", т.к. он отрубил мне доступ к интернету, локальной сети, диспетчеру задачь и антивирусника (нод32) то пришлось откатывать систему! и в сетевых настройках стало появляться левое подключение к internet на ip адрес назначения 00, удалял но оно появлялось сново, сейчас появляться перестало...,а на диске C:\ появился файл типа re4rwc6eraw7.exe (с иконкой черепа) касперский его занес в карантин но не удалил (удалял несколько раз в ручную) на данный момент его тоже нету
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      14,6 КБ
      Просмотров:
      1
  10. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    что тут? так и должно быть?
     

    Вложения:

    • 1.bmp
      Размер файла:
      676 КБ
      Просмотров:
      5
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::
    c:\docume~1\White\LOCALS~1\Temp\NRHCB1.tmp
    Driver::
    GarenaPEngine
    Folder::

    Registry::

    FileLook::


    DirLook::
    c:\program files\Ufasoft\Sniffer\
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Добавлено через 55 секунд
    Утилита ничего не нашла, это хорошо.
     
  12. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    .
     

    Вложения:

    • log2.txt
      Размер файла:
      13,9 КБ
      Просмотров:
      2
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Что с проблемами?
     
  14. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    C:\WINDOWS\system32\x - инфицирован Win32.HLLW.Shadow.based
    C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\Y31U9M78\nolssqha[1].gif - инфицирован Win32.HLLW.Shadow.based

    вот что щас нашлось...удалил...пока старый не объявлялся
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Да, я видел следы KIDO, и снял активное заражение.

    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    И проверьте систему Kido Killer
     
  16. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    связь с интернетом стала обрываться, приходится переподключаться...и опера перестала работать, вылетает ошибка, переустанавливал не помагло
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Давайте еще посмотрим логи AVZ и RSIT

    Добавлено через 25 минут 17 секунд
    В карантине CF обнаружено:
    **.scr - Trojan.Win32.Agent.dlqs (BackDoor.IRC.Bot.173)


    Adware.FieryAds.29
    Trojan.AdSubscribe.92


    Вы получали от друзей или знакомых по ICQ ссылку на фотографию с расширением *scr? Если да, то после лечения необходимо сменить все пароли т.к., на борту этой фотографии находится Trojan-PSW.Win32.LdPinch.amhh (или его модификации).

    Вот пример результат анализа вредоноса который попал мне в руки:
    foto015.scr - Trojan-PSW.Win32.VB.bmq
    и в ней (фотографии)
    exploreee.exe - Trojan-PSW.Win32.LdPinch.amhh
    svcgoost.exe - Trojan.Win32.VkHost.rk
     
  18. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    логи avz
    Не могу вам точно сказать получал ли я ссылку на фотографию с расширением *scr т.к. компьютером пользуется вся семья...
    Пароли асек, мыла и прочии?
     

    Вложения:

    • avz_log.txt
      Размер файла:
      4,2 КБ
      Просмотров:
      1
    • avz_log2.txt
      Размер файла:
      178 байт
      Просмотров:
      1
  19. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    RSIT
     

    Вложения:

    • info.txt
      Размер файла:
      11,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      29,4 КБ
      Просмотров:
      3
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Логи немного не те.

    Нужны файлы из папки Log в папке c AVZ

    Добавлено через 20 секунд
    Да.

    Добавлено через 5 минут 43 секунды
    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\m5k1r3r5y2j8.exe
    C:\WINDOWS\system32\drivers\xfgn.exe
    :Reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "Microsoft Driver Setup"=-
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\WINDOWS\System32\52.scr"=-
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Добавлено через 2 минуты 23 секунды
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
     
  21. kiwi
    Оффлайн

    kiwi Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    301
    avz Логи
     

    Вложения:

Поделиться этой страницей