Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Win32/Spabot.NAC (заявка № 10770)

  1. #1
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62

    Thumbs up Win32/Spabot.NAC

    Подхватил вирус типа троян (откуда не знаю). Постоянно что то качает и отсылает. Установил фаервол, проблемы прекратились. Потом пропал инет (связь ограниченна или отсутсвует). NOD32 постоянно отправляет в карантин новосозданные файлы типа cd****.nls. Скачал утилиту AVZ4, сделал всё как описанно в подобных проблемах. Но zip файл создаётся пустым. При анализе утилитой файлы типа cd****.nls не могут читаться (видимо их использует какое то приложение). При анализе все программы защиты были деактивированны (NOD32 и FireWall). Также, при анализе выдаётся ошибка о том, что остутсвует файл gowoggzuuns.dll (эта библиотека была инфицированна и удалена антивирусом).

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    выполните правила в безопасном режиме.
    и в добавок вот это http://virusinfo.info/showthread.php?t=10387

  4. #3
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Выкладываю файл с протоколом.
    Последний раз редактировалось TyMaH; 02.07.2007 в 17:36.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    У вас живет спам-бот в драйвере ndis.sys.

    1. Скачайте утилиту восстановления ndis.sys: Вложение 10580.

    2. Загрузитесь в безопасном режиме, запустите скачанную утилиту и нажмите кнопку Patch.

    3. Тут же, не выходя из безопасного режима, запустите AVZ и выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\fwdrv.sys','');
     QuarantineFile('c:\cd1041.nls','');
     DeleteFile('c:\cd????.nls');
     DeleteFile('C:\fwdrv.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('fwdrv.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    4. После перезагрузки пришлите карантин по правилам и сделайте новые логи.
    Последний раз редактировалось Bratez; 02.07.2007 в 16:38.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Хорошо! Как сделаю так сразу.

  7. #6
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Всё сделал. Вот логи.
    Последний раз редактировалось TyMaH; 02.07.2007 в 19:09.

  8. #7
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Ах да. У меня при скане обнаружился ещё 1 вирус - BackDoor. К сожалению я с дуру удалил папку сожержащую этот вирус (была заражена программа FlashGet - браузер) и теперь незнаю как он точно называется. Наверное поэтому у меня нет соединения с инетом (у меня ИП адрес с сервака не получает, и некоторые программы серверы не запускались потому что использовался какой-то порт).

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Похоже, вы не отключили восстановление системы. Сделайте это!
    2. Скачайте утилиту WinSockxpFix отсюда: http://www.winsockfix.nl
    3. Запишите все свои сетевые настройки, если есть локальная сеть.
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(true);
    DelSPIByFileName('gowoggzuuns.dll',true);
    AutoFixSPI;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    5. Если пропадет связь с интернетом, используйте скачанную программу, затем проверьте и при надобности введите заново сетевые настройки.

    6. Сделайте новые логи в нормальном режиме.
    Последний раз редактировалось Bratez; 02.07.2007 в 18:25. Причина: исправил скрипт
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Действия:
    1. Отключил;
    2. Скачал утилиту;
    3. Сеть имеется, настройки сохранены;
    4. Строка DelSPIByFileName('gowoggzuuns.dll',true); не выполняется так как файл "gowoggzuuns.dll" отсутствует (я выполнил скрипт без этой строки);
    5. Воспользовался утилитой (см п2.);
    6. Анализ проведён.
    Результат:
    1. Связь с интернетом восстановлена (сижу уже со своей системы);
    2. Файлы типа cd****.nls больше не создаются;
    3. Выкладываю новые логи.
    Осталось только проверится на наличие трояна BackDoor, хотя при анализе он уже не проявлял себя.

    Огромное спасибо! Буду вас рекомендовать всем знакомым, так что работы у вас наверно добавиться. Но я всё же посоветую ВСЕМ, перед тем как выходить в сеть (любую) поставить антивирус (с последними базами) и фаервол, ибо как показывает практика без них "и не туды и не сюды".
    Вложения Вложения
    Последний раз редактировалось TyMaH; 02.07.2007 в 19:10. Причина: Забыл вложить логи

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от TyMaH Посмотреть сообщение
    Действия:
    4. Строка DelSPIByFileName('gowoggzuuns.dll',true); не выполняется так как файл "gowoggzuuns.dll" отсутствует (я выполнил скрипт без этой строки);

    Огромное спасибо! Буду вас рекомендовать всем знакомым, так что работы у вас наверно добавиться. Но я всё же посоветую ВСЕМ, перед тем как выходить в сеть (любую) поставить антивирус (с последними базами) и фаервол, ибо как показывает практика без них "и не туды и не сюды".
    Не надо править скрипты. Эта строчка не только удаляет файл, но и ставит отметку по чистке реестра.

    В Вашем случае помог winsockxpfix, а так бы были недолеченные следы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    Не надо править скрипты. Эта строчка не только удаляет файл, но и ставит отметку по чистке реестра.

    В Вашем случае помог winsockxpfix, а так бы были недолеченные следы.
    На счёт исправления скриптов учту, вручную ничего исправлять не буду, буду только сообщать причину ошибки. В данное время обновил базу NOD32 (до этого небыло возможности из за отсутствия сети) и провожу глубокий анализ системы. Обнаружились остатки вируса спам-бота в папке System Volume Information. Файлы были успешно удалены.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от TyMaH Посмотреть сообщение
    Обнаружились остатки вируса спам-бота в папке System Volume Information.
    В правилах написано - отключить восстановление системы.

  14. #13
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Цитата Сообщение от pig Посмотреть сообщение
    В правилах написано - отключить восстановление системы.
    На момент удаления вируса, восстановление системы было выключено. Полная проверка ничего не выявляла.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    То есть, остатки спамбота попали в SVI уже после лечения? Кстати, о том, что "после" уже наступило, никто не говорил... Выключите и не включайте, пока отмашку не дадут.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Похоже, мы победили
    На всякий случай пришлите по правилам эти два файла:
    C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll
    C:\WINDOWS\is-A3D72.exe
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Данные файлы отсутствуют. Провёл глубокий анализ антивирусом NOD32 с последними базами - вирусов и подозрительных объектов обнаружено небыло.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Данные файлы отсутствуют.
    Однако судя по логам они оба все-таки существуют.
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
    O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
    O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-A3D72.exe" /REG
    и выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\is-A3D72.exe','');
     QuarantineFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    После перезагрузки пришлите карантин по правилам.
    Отправил карантин, название файла - 070703_175827_Quarantine_468a56032d67b.ZIP. Также пофиксил указаныне строки (название файла hijackthis.zip), но строка "O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-A3D72.exe" /REG" остутствовала (посмотрите файл hijackthis(full).zip).
    Вложения Вложения
    Последний раз редактировалось TyMaH; 03.07.2007 в 18:04. Причина: забыл прикрепить файлы

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, is-A3D72.exe и его строчка в логе отсутствуют, видимо это была какая-то незавершенная инсталляция. А вот второй файлик явно не полезный, судя по результату Вирустотал, да и место проживания у него "не как у людей" Так что давайте его удалим:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll');
     BC_DeleteFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и последний раз сделайте логи п.10-13 правил.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    02.07.2007
    Адрес
    Уфа
    Сообщений
    12
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    сделайте логи п.10-13 правил.
    Выкладываю. При проверке обнаружилась пара подозрительных объектов, но повторная проверка антивирусом ничего не выявила. Надеюсь это действительно последние логи которые я выкладываю (файлы помещены в карантин, отправлю вам если потребуется).
    Вложения Вложения
    Последний раз редактировалось TyMaH; 03.07.2007 в 18:55. Причина: орфографические ошибки

  • Уважаемый(ая) TyMaH, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. проблема Win32/Spabot.NAJ...
      От Ichigeki в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:15
    2. Win32.Agent.u-Win32/Spabot.Nac trojan
      От ratat в разделе Помогите!
      Ответов: 46
      Последнее сообщение: 22.02.2009, 01:47
    3. Вирус: Win32/Spabot.NAC троян
      От Андрей-5555 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:38
    4. Проблема с вирусом win32/spabot.NAI
      От driverblag в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.09.2007, 09:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01561 seconds with 20 queries