Показано с 1 по 14 из 14.

Семья BackDoor (заявка № 10186)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62

    Question Семья BackDoor

    Добрый день! суть проблемы в следующем: с неделю назад жутко начал тормозить компьютер. Установил Drweb со всеми обновлениями, он обнаружил BackDoor.Generic.1138. вроде как все вылечил, но при следующей проверке DrWeb начинал жутко тормозить и диск С: забивался под завязку какимито непонятными файлами размером метров 600-700. Вообщем, поудалял их из доса, почисти что нашел в реестре - вирус вроде как исчез(ДрВеб стал проверять нормально, лишние файлы на диске не появлялись). так красиво прошли 3 дня. НО... вчера ДрВеб обнаружил BackDoor.mailbot, лечю его или удаляю не имеет значения, он все равно появляется при следующей загрузке. И еще, в инете постоянно что-то качается. обновления все отключены это точно, потому что раньше ничего лишнего из инета не качалось. Посмотрел в инете информацию про этот вирус - почти 0. Нашел в автозагрузке лишние файлы(через msconfig), отключил их загрузку. Теперь компьтер стал грузиться под новым профилем ("старый профиль+всякие цифры буквы"). Сообщение об обнаружении BackDoor.mailbot исчезло, но счетчик трафика в интернете все также крутится без остановки...
    что посоветуете, господа эксперты?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62

    в довесок :(

    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K5QPE7M9\lam[1].exe - инфицирован Trojan.MulDrop.6364

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Drongo думается скрипт напишет, а так краткий итог: полный зоопарк при наличии ломалки ХР и отсутствии SP2.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe','');
     QuarantineFile('C:\WINDOWS\win32host.exe','');
     QuarantineFile('c:\windows\system32\wintasks32.exe','');
     QuarantineFile('c:\windows\win32host.exe','');
     QuarantineFile('c:\windows\system32\taskmngr32.exe','');
     QuarantineFile('C:\WINDOWS\MsLS32.exe','');
     DeleteFile('C:\WINDOWS\MsLS32.exe');
     DeleteFile('c:\windows\system32\taskmngr32.exe');
     DeleteFile('c:\windows\win32host.exe');
     DeleteFile('c:\windows\system32\wintasks32.exe');
     DeleteFile('C:\WINDOWS\win32host.exe');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe');
    BC_ImportQuarantineList;
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('win32host');
    BC_DeleteSvc('MsLS32');
    BC_Activate;
    ClearHostsFile;
    RebootWindows(true);
    end.
    2. Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10186
    3.Повторить логи по правилам и прикрепить к следующему ответу.


    Ho, это лечение примерно на пол-часа гулянья по интернету.

    Если уж советовать на более долгое время то вот такой совет:

    1.Полный формат диска С (хотя бы)
    2.Поставить XP с интегрированной SP2 на диск C , обновиться потом с сайта микрософта.
    3.Сделать имидж диска C, например с acronis true image.
    4.Поставить все нужные программы , антивирус , файрвол , настроить!
    5.Отключить не нужные службы windows.
    6.Сделать имидж диска C, например с acronis true image.
    7.Получать удовольствие
    Последний раз редактировалось drongo; 05.06.2007 в 12:12.

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62
    АВЗ Выкидывает ошибку:
    Ошибка: undeclared identifier: 'Clear Hosts' в позиции 19:11

    Сделано умышленно, чтобы раньше времени не исполняли . специально для тех, кто не читает красным цветом .
    Последний раз редактировалось drongo; 05.06.2007 в 12:05.

  7. #6
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62
    ХР ломанная конечно, думаю на 99% домашних компов она такая.
    сервис пак только 1 понимаю что слабо. но должен же быть выход

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62
    скрипт прошел. высылаю логи
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62
    Совет ясен. спасибо.
    П.С. лечение на полчаса из-за наличия доступа к интернет?
    просто есть еще 5 машин, на которых теже симптомы. не получится отделаться малой кровью?

  10. #9
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62
    П.П.С. на этих 5 машина доступ в интернет отсутствует

  11. #10

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от Kotiger Посмотреть сообщение
    П.П.С. на этих 5 машина доступ в интернет отсутствует
    Если без интернета , тогда жить можно если не заносить флешки/диски со зверями

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от drongo Посмотреть сообщение
    Если без интернета , тогда жить можно если не заносить флешки/диски со зверями
    Добавлю: и не иметь расшаренных папок на запись. Имеется в виду на машинах без инета.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    8
    Вес репутации
    62
    Закачал карантин.
    А нельзя сначала провести это лечение на пол часа а потом переустановить винду ХР с СП2?

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\taskmngr32.exe - Trojan-Proxy.Win32.Agent.hd (DrWEB: Trojan.Proxy.1067)
      2. c:\\windows\\system32\\wintasks32.exe - Backdoor.Win32.Rbot.gen (DrWEB: Win32.HLLW.MyBot.based)
      3. c:\\windows\\win32host.exe - Backdoor.Win32.DsBot.bp (DrWEB: BackDoor.IRC.Sdbot.based)


  • Уважаемый(ая) Kotiger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не открывается google (и вся семья его), yandex...
      От rassilg в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.10.2008, 13:55
    2. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
      От dimonavia в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 11.02.2008, 12:55
    3. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00
    4. Новый тип Backdoor - вероятно Backdoor.Delf.??
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 10.02.2005, 15:14
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01129 seconds with 19 queries