Показано с 1 по 18 из 18.

BackDoor.Gbot, последствия (заявка № 100964)

  1. #1
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55

    Thumbs up BackDoor.Gbot, последствия

    День добрый, уважаемые хелперы!

    К моему глубочайшему сожалению, параллельно похожие проблемы возникли и со вторым компьютером.
    Во-первых, был также обнаружен процесс csrss.exe, который запускался с папки Local Settings. Dr.WebCureIt обнаружил, что это был BackDoor.Gbot.21 и удалил его. Второй подозрительный процесс, conhost.exe, был идентифицирован как BackDoor.Gbot.30.
    Далее уже и "родной" антивирус увидел, что процесс AbobeUtil.exe является Win32/Kryptik.MPI. Также вызывает некоторые сомнения и процесс dwm.exe, который запускается с папки Local Settings, но антивирусы его пропускают.

    Позавчера, начались перебои с сетью: сначала был закрыт доступ к почтовикам, а позже и к сайту Др.Веб. Это было следствием открытия прокси 127.0.0.1:52505, потом и порта 64889, а в Моззиле был убран запрет на перенаправление страницы. После перезагрузки, порт 64889 снова появляется открытым.

    Буду очень признателен за вашу помощь.
    Последний раз редактировалось thyrex; 18.04.2011 в 22:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Прошу прощения, по ошибке прикрепил virusinfo_cure.zip

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\cleansweep.exe\cleansweep.exe','');
     QuarantineFile('C:\Documents and Settings\F30\Application Data\Adobe\AdobeUtil.exe','');
     QuarantineFile('C:\Documents and Settings\F30\Application Data\Microsoft\conhost.exe','');
     QuarantineFile('C:\DOCUME~1\F30\LOCALS~1\Temp\csrss.exe','');
     QuarantineFile('c:\documents and settings\f30\application data\dwm.exe','');
     DeleteFile('C:\DOCUME~1\F30\LOCALS~1\Temp\csrss.exe');
     DeleteFile('C:\Documents and Settings\F30\Application Data\Microsoft\conhost.exe');
     DeleteFile('C:\Documents and Settings\F30\Application Data\Adobe\AdobeUtil.exe');
     DeleteFile('C:\cleansweep.exe\cleansweep.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
    DeleteFileMask('C:\cleansweep.exe', '*.*', true);
    DeleteDirectory('C:\cleansweep.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Благодарствую Вам, thyrex, за помощь!

    Всё выполнил, логи прикрепил.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все, кроме
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Огромное спасибо!

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Премного благодарен за помощь! Пока проблем не вижу.

  10. #9
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    К сожалению, все исправилось лишь косметически. Не прошло и дня, как всё вернулось и ещё в худшем состоянии. Антивирус включён, нигде в сети на опасных сайтах я не был, однако снова были загружены вредоносные программы, установилось пару "антивирусов", и были запущены "знакомые" процессы (conhost.exe, dwm.exe, AdobUtil.exe).

    Сканирование в МВАМ обнаружило 48 заражённых объектов, которые я удалил.
    Обновил базы avz и сделал новые логи.

    Что ещё настораживает: при просмотре процессов перестала отображаться информация о принадлежности процессов к системным и пользовательским, а на вкладке "пользователи" тоже пусто.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Denozaur Посмотреть сообщение
    Что ещё настораживает: при просмотре процессов перестала отображаться информация о принадлежности процессов к системным и пользовательским
    Служба терминалов работает?

    Лог МВАМ до очистки?

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Спасибо за рекомендации!

    Служба терминалов была отключена. Включил и всё заработало.

    Лог МВАМ до очистки.

    Прикрепил лог ComboFix.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Извините, не очень понял суть вопроса. Принадлежность процессов отображается. Больше ничего я не предпринимал. Или после комбофикс всё должно быть исправленным?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Denozaur Посмотреть сообщение
    однако снова были загружены вредоносные программы, установилось пару "антивирусов", и были запущены "знакомые" процессы (conhost.exe, dwm.exe, AdobUtil.exe).
    Сейчас они есть?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Спасибо, пока вроде всё затихло...

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Огромное Вам спасибо за помощь! Удалил КомбоФикс, очистил всё, а также закрыл уязвимости в службах и установил критические обновления Виндовз. Будем надеяться на здоровый образ жизни!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\f30\\application data\\dwm.exe - Backdoor.Win32.Gbot.csf ( DrWEB: BackDoor.Gbot.34, BitDefender: Gen:Trojan.Heur.KS.1, AVAST4: Win32:Cybota [Trj] )


  • Уважаемый(ая) Denozaur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. win32.backdoor.shiz последствия
      От Mahou в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.05.2011, 19:28
    2. BackDoor.Gbot, последствия - продолжение
      От Denozaur в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.04.2011, 22:17
    3. Последствия Backdoor.Win32.Bredavi.brp
      От allusik88 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 27.01.2010, 16:06
    4. последствия BackDoor.Win32.DsBot.vd
      От genik_polt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.01.2009, 14:02
    5. BackDoor.Generic.1138 последствия
      От she1est в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 29.06.2007, 13:55

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01404 seconds with 19 queries