• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена BackDoor.IRC.Bot.173

kiwi

Активный пользователь
Сообщения
17
Симпатии
0
#1
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\ECGVDL7V\dd[1].exe - инфицирован BackDoor.IRC.Bot.173

C:\WINDOWS\system32\10.scr - инфицирован BackDoor.IRC.Bot.173

помогите избавиться от этой дряни:(
 

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#2
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."


Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.
 

kiwi

Активный пользователь
Сообщения
17
Симпатии
0
#3
gmer отказал в работе после 2х часов сканирования, щас попробую еще раз
 

Вложения

  • 22.5 KB Просмотры: 4

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#4
Модуль от Ask.com сами ставили?

Добавлено через 6 минут 37 секунд
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

NetSvc::
wegfmj
jcwxv
misan
Driver::
wegfmj
jcwxv
misan
krhqawv
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3924:TCP"=-
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Проверьте систему TDSS Killer, для удобства воспользуйтесь Quick Killer
 

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#7
В логе гмер ничего вредоносного не вижу.
 

kiwi

Активный пользователь
Сообщения
17
Симпатии
0
#8
кстати, буквально за пару часов до того как я обнаружил у себя данный вирус, мой комп поймал баннер, через "плагин для просмотра видео на страницах", т.к. он отрубил мне доступ к интернету, локальной сети, диспетчеру задачь и антивирусника (нод32) то пришлось откатывать систему! и в сетевых настройках стало появляться левое подключение к internet на ip адрес назначения 00, удалял но оно появлялось сново, сейчас появляться перестало...,а на диске C:\ появился файл типа re4rwc6eraw7.exe (с иконкой черепа) касперский его занес в карантин но не удалил (удалял несколько раз в ручную) на данный момент его тоже нету
 

Вложения

kiwi

Активный пользователь
Сообщения
17
Симпатии
0
#9
что тут? так и должно быть?
 

Вложения

  • 676 KB Просмотры: 5

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#10
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\docume~1\White\LOCALS~1\Temp\NRHCB1.tmp
Driver::
GarenaPEngine
Folder::

Registry::

FileLook::


DirLook::
c:\program files\Ufasoft\Sniffer\
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 55 секунд
что тут? так и должно быть?
Утилита ничего не нашла, это хорошо.
 

kiwi

Активный пользователь
Сообщения
17
Симпатии
0
#13
C:\WINDOWS\system32\x - инфицирован Win32.HLLW.Shadow.based
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\Y31U9M78\nolssqha[1].gif - инфицирован Win32.HLLW.Shadow.based

вот что щас нашлось...удалил...пока старый не объявлялся
 

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#14
Да, я видел следы KIDO, и снял активное заражение.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


И проверьте систему Kido Killer
 

kiwi

Активный пользователь
Сообщения
17
Симпатии
0
#15
связь с интернетом стала обрываться, приходится переподключаться...и опера перестала работать, вылетает ошибка, переустанавливал не помагло
 

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#16
Давайте еще посмотрим логи AVZ и RSIT

Добавлено через 25 минут 17 секунд
В карантине CF обнаружено:
**.scr - Trojan.Win32.Agent.dlqs (BackDoor.IRC.Bot.173)


Adware.FieryAds.29
Trojan.AdSubscribe.92


Вы получали от друзей или знакомых по ICQ ссылку на фотографию с расширением *scr? Если да, то после лечения необходимо сменить все пароли т.к., на борту этой фотографии находится Trojan-PSW.Win32.LdPinch.amhh (или его модификации).

Вот пример результат анализа вредоноса который попал мне в руки:
foto015.scr - Trojan-PSW.Win32.VB.bmq
и в ней (фотографии)
exploreee.exe - Trojan-PSW.Win32.LdPinch.amhh
svcgoost.exe - Trojan.Win32.VkHost.rk
 

kiwi

Активный пользователь
Сообщения
17
Симпатии
0
#17
логи avz
Не могу вам точно сказать получал ли я ссылку на фотографию с расширением *scr т.к. компьютером пользуется вся семья...
Пароли асек, мыла и прочии?
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,798
Симпатии
12,157
#19
Логи немного не те.

Нужны файлы из папки Log в папке c AVZ

Добавлено через 20 секунд
Пароли асек, мыла и прочии?
Да.

Добавлено через 5 минут 43 секунды
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\m5k1r3r5y2j8.exe
C:\WINDOWS\system32\drivers\xfgn.exe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Microsoft Driver Setup"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\System32\52.scr"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Добавлено через 2 минуты 23 секунды
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
 
Сверху Снизу