-
Junior Member
- Вес репутации
- 55
BackDoor.Gbot, последствия
День добрый, уважаемые хелперы!
К моему глубочайшему сожалению, параллельно похожие проблемы возникли и со вторым компьютером.
Во-первых, был также обнаружен процесс csrss.exe, который запускался с папки Local Settings. Dr.WebCureIt обнаружил, что это был BackDoor.Gbot.21 и удалил его. Второй подозрительный процесс, conhost.exe, был идентифицирован как BackDoor.Gbot.30.
Далее уже и "родной" антивирус увидел, что процесс AbobeUtil.exe является Win32/Kryptik.MPI. Также вызывает некоторые сомнения и процесс dwm.exe, который запускается с папки Local Settings, но антивирусы его пропускают.
Позавчера, начались перебои с сетью: сначала был закрыт доступ к почтовикам, а позже и к сайту Др.Веб. Это было следствием открытия прокси 127.0.0.1:52505, потом и порта 64889, а в Моззиле был убран запрет на перенаправление страницы. После перезагрузки, порт 64889 снова появляется открытым.
Буду очень признателен за вашу помощь.
Последний раз редактировалось thyrex; 18.04.2011 в 22:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 55
Прошу прощения, по ошибке прикрепил virusinfo_cure.zip
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\cleansweep.exe\cleansweep.exe','');
QuarantineFile('C:\Documents and Settings\F30\Application Data\Adobe\AdobeUtil.exe','');
QuarantineFile('C:\Documents and Settings\F30\Application Data\Microsoft\conhost.exe','');
QuarantineFile('C:\DOCUME~1\F30\LOCALS~1\Temp\csrss.exe','');
QuarantineFile('c:\documents and settings\f30\application data\dwm.exe','');
DeleteFile('C:\DOCUME~1\F30\LOCALS~1\Temp\csrss.exe');
DeleteFile('C:\Documents and Settings\F30\Application Data\Microsoft\conhost.exe');
DeleteFile('C:\Documents and Settings\F30\Application Data\Adobe\AdobeUtil.exe');
DeleteFile('C:\cleansweep.exe\cleansweep.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
DeleteFileMask('C:\cleansweep.exe', '*.*', true);
DeleteDirectory('C:\cleansweep.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Благодарствую Вам, thyrex, за помощь!
Всё выполнил, логи прикрепил.
-
Удалите в МВАМ все, кроме
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Премного благодарен за помощь! Пока проблем не вижу.
-
Junior Member
- Вес репутации
- 55
К сожалению, все исправилось лишь косметически. Не прошло и дня, как всё вернулось и ещё в худшем состоянии. Антивирус включён, нигде в сети на опасных сайтах я не был, однако снова были загружены вредоносные программы, установилось пару "антивирусов", и были запущены "знакомые" процессы (conhost.exe, dwm.exe, AdobUtil.exe).
Сканирование в МВАМ обнаружило 48 заражённых объектов, которые я удалил.
Обновил базы avz и сделал новые логи.
Что ещё настораживает: при просмотре процессов перестала отображаться информация о принадлежности процессов к системным и пользовательским, а на вкладке "пользователи" тоже пусто.
-
Сообщение от
Denozaur
Что ещё настораживает: при просмотре процессов перестала отображаться информация о принадлежности процессов к системным и пользовательским
Служба терминалов работает?
Лог МВАМ до очистки?
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Спасибо за рекомендации!
Служба терминалов была отключена. Включил и всё заработало.
Лог МВАМ до очистки.
Прикрепил лог ComboFix.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Извините, не очень понял суть вопроса. Принадлежность процессов отображается. Больше ничего я не предпринимал. Или после комбофикс всё должно быть исправленным?
-
Сообщение от
Denozaur
однако снова были загружены вредоносные программы, установилось пару "антивирусов", и были запущены "знакомые" процессы (conhost.exe, dwm.exe, AdobUtil.exe).
Сейчас они есть?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Спасибо, пока вроде всё затихло...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Огромное Вам спасибо за помощь! Удалил КомбоФикс, очистил всё, а также закрыл уязвимости в службах и установил критические обновления Виндовз. Будем надеяться на здоровый образ жизни!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\f30\\application data\\dwm.exe - Backdoor.Win32.Gbot.csf ( DrWEB: BackDoor.Gbot.34, BitDefender: Gen:Trojan.Heur.KS.1, AVAST4: Win32:Cybota [Trj] )
-