-
Junior Member
- Вес репутации
- 53
Помогите вылечить пожалуйста irc.bot.166, zaberg
ПК был пролечен Dr.Web. При повторном подключении к интернету на конкретный ip идёт атака, при подключении в другом месте - атаки нет. Заливаються троянчики типа irc.bot.166, zaberg, spambot.11487, backdoor.irc.ngrbot, backdoor.ddose и прочую гадость. Создаются файлы exe в папке пользователя с названием khkh.exe Кучу файлов в system32 с названиями типа 1.exe, 30.exe, 58.exe. Логи AVZ, HiJacktThis и Dr.Web прилагаю.
Ы.з.: написали заявление о смене ip.
почему то не могу прикрепить вложение - пишет - неверный формат с восклицательным знаком. Скидываю на омский файлообменник логи.
http://disk.tom.ru/ya4xxqb
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Dovgan, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
В указанной последовательности:
Установите Service Pack 3(может потребоваться повторная активация):
http://www.microsoft.com/downloads/r...8-1e1555d4f3d4
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
При подключенном интернете выполните скрипт в AVZ (как выполнить):
Код:
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
-
-
Junior Member
- Вес репутации
- 53
Спасибо Вам огрмное. Поделал всё по инструкции.
Логи на файлообменник выложил (опять проблемма, не выкладывает во вложениях).
http://disk.tom.ru/lfpf8c7.
По сылке залил архив авз.
Результат загрузки
Файл сохранён как 120702_081216_virusinfo_files_4IZH_4ff157e05ef4f.z ip
Размер файла 18658778
MD5 dcd3456d822584f5d97340a619053f82
Файл закачан, спасибо!
-
Выполните скрипт в AVZ (как выполнить):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\Khqkqu.exe','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\Khqkqu.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Khqkqu');
QuarantineFile('C:\WINDOWS\csdrive32.exe','');
DeleteFile('C:\WINDOWS\csdrive32.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup');
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\Uhqkqe.scr','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\Uhqkqe.scr');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Uhqkqe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\zaber0');
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\1BD.exe','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\1BD.exe');
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\E6.exe','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\E6.exe');
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\EC.exe','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\EC.exe');
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\FB.exe','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\FB.exe');
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\E.exe','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\E.exe');
QuarantineFile('C:\Documents and Settings\4IZH и НЮША\Application Data\198.exe','');
DeleteFile('C:\Documents and Settings\4IZH и НЮША\Application Data\198.exe');
QuarantineFile('C:\WINDOWS\wrdrive32.exe','');
DeleteFile('C:\WINDOWS\wrdrive32.exe');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
Лог МВАМ забыли приложить.
Если уже делали, то сделайте заново и приложите.
http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 53
Спасибо. Скрипт выполнил, перезагрузился. Архив с карантином не загружается - пишет - есть уже такой файл на сервере. Посему выкладываю по прежнему на обменник. Логи Рсит и Мбам прилагаю.
http://hdd.tomsk.ru/desk/efapokay
-
-
-
Junior Member
- Вес репутации
- 53
Вроде бы всё нормально. Интернет работает. Ошибок при работе с памятью с работой проводника нет. Единственно что смущает это в логах Мбама какие-то черви оставшиеся в Recycles. И пофиксить?
Какой антивирус посоветуете: Dr.Web Security Space Pro, Norton Interet Security, KIS 2012?
-
Сообщение от
Dovgan
Какой антивирус посоветуете: Dr.Web Security Space Pro, Norton Interet Security, KIS 2012?
На вкус и на цвет...
Любой из указанных - хороший выбор, но надо помнить, что ни один антивирус дать 100%-ную гарантию не в состоянии.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо большое за помощь.
При подключении интернета и сменённом ip, произошла одна ошибка Explorer.exe, в журналах событий не отразилась, вырубило нортона (скорее всего конфликт браузера с надстройкой Нортона для браузеров). После перезагрузки ПК, вроде без ошибок. Понаблюдаю. Ещё раз благодарствую.