Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Backdoor.Win32.IRCBot.wt (заявка № 10451)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35

    Thumbs up Backdoor.Win32.IRCBot.wt

    Я никогда раньше с вирусами не боролся, если возникали проблемы просто пнреустанавливал Винду, но так случилось что сейчас этого делать нельзя.
    Этого зверя я высветил KAV 6.0, Web его не видит, при этом находит его два раза и постоянно висит два таких процеса: mswsgs.exe
    Каспер говорит что для удаления вируса нужно перезагрузить компьютер, но после перезагрузки вирус появляется снова.
    Создать заявку согласно правил не получилось, при обновлении баз AVZ выскакивает следующее:
    "Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновления avzupd.zip c http//z-oleg.com/secur/avz_up/[21,00000002]"
    Помогите пожалуйста.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    http://virusinfo.info/showthread.php?t=1235
    http://z-oleg.com/avz4.zip
    http://z-oleg.com/secur/avz_up/avzbase.zip - скачайте вручную архив с обновлениями и распакуйте в нужное место .

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Наконецто закончил диагностику (правда у меня вызывает сомнение лог от HIJACK, но ничего другого не сохранилось)

    Вместо virusinfo_cure.zip должен быть virusinfo_syscheck.zip.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Зловред видимо есть ... выполните скрипт AVZ и пришлите попавшие в карантин файл согласно правилам:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\hggdbcb.dll','');
     QuarantineFile('C:\WINDOWS\System32\mljgd.dll','');
     QuarantineFile('C:\WINDOWS\System32\vlufhoiv.dll','');
     QuarantineFile('sfvfs02.sys','');
     QuarantineFile('snapman.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\System32\mswsgs.exe','');
     QuarantineFile('c:\windows\system32\mswsgs.exe','');
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Может дело в кривизне моих рук или я неправильно понял инструкцию " во время лечения" но в карантине ничего нет и в папке лог только это. (проверял раз 5, при этом комп регулярно вис)
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Мне кажется дошло что нужно было сделать... (лучше позно чем никогда)
    Последний раз редактировалось Зайцев Олег; 17.06.2007 в 15:20. Причина: Запрещается присоединять файлы карантина к теме

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    @Demien
    Читаем вместе п.10:
    10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
    Мне кажется дошло что нужно было сделать..
    Нет. Вирус надо не подвешивать к теме, а закачать тут.
    FYI: с такой системой
    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Вам придётся абонировать в форуме выделенный канал для постоянных клиентов

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Файл c:\windows\system32\mswsgs.exe - это троян, его следует удалить отложенным удлением AVZ или, что лучше, выполнить скрипт:
    Код:
    begin
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\mswsgs.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от Rene-gad
    @Demien
    Читаем вместе п.10:
    10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
    по этой схеме я сканировал машину раз 7 минимум, все что было в папке LOG я прислал, возможно дело в том что програма не захотела обновляться автоматически и мне пришлось делать это в ручную....

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Зайцев Олег, огромное вам спасибо! Я наконецто избавился от этой заразы (если верить касперу)

    Но похоже это не все, в процессах появился какойто a.exe
    и машина продолжает переодически виснуть...

    И еще вопрос: как быть с обновлением системы которое я отключил в процесе диагностики?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Demien Посмотреть сообщение
    Зайцев Олег, огромное вам спасибо! Я наконецто избавился от этой заразы (если верить касперу)

    Но похоже это не все, в процессах появился какойто a.exe
    и машина продолжает переодически виснуть...

    И еще вопрос: как быть с обновлением системы которое я отключил в процесе диагностики?
    О каком обновлении системы идет речь ? В правилах говорится об отключении восстановления системы, а не обновления. Нужны новые логи чтобы установить, что за новый процесс и откуда он взялся ... Firewall на компьютере установлен и настроен ? Если нет, то процесс лечения будет бесконечным ...

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Перед созданием новых логов пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\vlufhoiv.dll (file missing)
    O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O2 - BHO: (no name) - {CBBD4BC0-2668-4DF5-AA21-6C14F7554225} - C:\WINDOWS\System32\mljgd.dll (file missing)
    O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\hggdbcb.dll (file missing)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O20 - Winlogon Notify: hggdbcb - C:\WINDOWS\
    O20 - Winlogon Notify: mljgd - C:\WINDOWS\
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Прошу прощения, я ошибся. Я действительно имел ввиду восстановление системы.

    На компе установлен KAV 6.0 (демо версия).... достаточно этого или нет я не знаю... буду признателен за консультацию по этому вопросу

  15. #14
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    На компе установлен KAV 6.0 (демо версия).... достаточно этого или нет я не знаю
    Нет. Нужно ставить сторонний файрвол.

  16. #15
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от MaXim Посмотреть сообщение
    Нет. Нужно ставить сторонний файрвол.
    например?

  17. #16
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Отвечу ссылкой http://virusinfo.info/forumdisplay.php?f=40

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Фаервол - это хорошо, но, как уже заметил коллега Rene-gad, первым и главным мероприятием для укрепления безопасности должна быть установка SP2 и последующих обновлений Windows, иначе и фаервол может не помочь. Но прежде надо закончить лечение. Ждем логи.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от Bratez Посмотреть сообщение
    Перед созданием новых логов пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\vlufhoiv.dll (file missing)
    O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O2 - BHO: (no name) - {CBBD4BC0-2668-4DF5-AA21-6C14F7554225} - C:\WINDOWS\System32\mljgd.dll (file missing)
    O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\hggdbcb.dll (file missing)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O20 - Winlogon Notify: hggdbcb - C:\WINDOWS\
    O20 - Winlogon Notify: mljgd - C:\WINDOWS\
    гм... я сегодня в первый раз увидел HIJACK, не могли бы вы по подробней обьяснить куда именно прописать этот скрипт и как это сделать.

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Как нынче модно говорить, фтыкать тут:
    Что значит "пофиксить с помощью HijackThis"?
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    35
    пофиксил все кроме этих строк:
    O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe

    их просто небыло в списке

    а что касается Firewall, то ставить я его начну сегодня же. как только определюсь какой

  • Уважаемый(ая) Demien, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Backdoor.Win32.IRCBot.mle
      От wanderer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.10.2009, 21:09
    2. Backdoor.Win32.IRCBot.lmf
      От dolphin_al в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.10.2009, 13:56
    3. Backdoor.Win32.IRCBot.lha
      От Reanimator177 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 12:14
    4. Backdoor.Win32.IRCBot
      От Johnick в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:40
    5. Backdoor.Win32.IRCBot.csk
      От LomasterPAS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 13:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00855 seconds with 24 queries