Доктор веб определяет BackDoor.IRC.Bot.896 в номерных экзешниках в папке system32

**Just today** · 31.08.2011, 12:42

Здравствуйте. После того, как я давал свою флешку знакомым, с компьютером стало твориться что-то неладное. В папке system32 появляются файлы вида 00.exe 04.exe и тд. Так же через некоторое время после включения компьютера частично пропадает доступ к интернету. Уже открытые соединения (разговор по скайпу, включенная аська, просматриваемое потоковое видео и тд.) продолжают работать, но открыть что-либо новое не получается (страницы не обновляются, переход по ссылкам ведёт на пустые вкладки, не получается залогиниться в онлайн приложениях).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.08.2011, 12:43

Уважаемый(ая) Just today, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Bratez** · 31.08.2011, 16:31

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Dmitry\Рабочий стол\gm\gm.exe','');
 QuarantineFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
 QuarantineFile('C:\WINDOWS\system32\GServ.exe','');
 DeleteFile('C:\WINDOWS\system32\GServ.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
 DeleteFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe');
 DeleteFile('C:\WINDOWS\system32\00.exe');
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\05.exe');
 DeleteFile('C:\WINDOWS\system32\16.scr');
 DeleteFile('C:\WINDOWS\system32\17.exe');
 DeleteFile('C:\WINDOWS\system32\25.exe');
 DeleteFile('C:\WINDOWS\system32\26.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\38.exe');
 DeleteFile('C:\WINDOWS\system32\40.exe');
 DeleteFile('C:\WINDOWS\system32\40.scr');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\WINDOWS\system32\52.exe');
 DeleteFile('C:\WINDOWS\system32\55.exe');
 DeleteFile('C:\WINDOWS\system32\56.scr');
 DeleteFile('C:\WINDOWS\system32\62.exe');
 DeleteFile('C:\WINDOWS\system32\63.exe');
 DeleteFile('C:\WINDOWS\system32\72.scr');
 DeleteFile('C:\WINDOWS\system32\73.exe');
 DeleteFile('C:\WINDOWS\system32\75.exe');
 DeleteFile('C:\WINDOWS\system32\76.exe');
 DeleteFile('C:\WINDOWS\system32\85.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Ставьте все доступные обновления безопасности на Windows!

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=108132).

Сделайте новые логи в нормальном режиме.

**Just today** · 31.08.2011, 17:22

На всякий случай замечу, что
C:\Documents and Settings\Dmitry\Рабочий стол\gm\gm.exe

Это программа-будильник, которой я пользуюсь уже больше года.

**Bratez** · 31.08.2011, 17:50

Сообщение от Just today

C:\Documents and Settings\Dmitry\Рабочий стол\gm\gm.exe
Это программа-будильник, которой я пользуюсь уже больше года.

Хорошо.

В логах порядок.
Выполните еще такой скрипт в AVZ:

Код:

begin
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
end.

Про обновления Windows не забывайте, это важно.

**Just today** · 01.09.2011, 16:07

Большое спасибо. Похоже теперь с компьютером всё в порядке. Не могли бы вы ещё подсказать, как безопасно проверить не заражена ли флешка?

**Bratez** · 01.09.2011, 16:22

Сообщение от Just today

как безопасно проверить не заражена ли флешка?

Включите в проводнике показ скрытых и системных файлов и папок.
Втыкая флэшку зажмите клавишу Shift, чтобы не сработал автозапуск.
Запустите Проводник и открывайте флэшку, выбирая ее в левой части окна в дереве каталогов, но ни в коем случае не двойным щелчком в "Моем компьютере".
Внимательно просмотрите содержимое флэшки. Никаких двойных щелчков в правой части окна! Имейте ввиду, что вирусы могут делать ваши папки скрытыми и создавать свои исполняемые файлы со значками в виде папок. Удалите все "чужое" и сделайте безопасное извлечение устройства.

**Just today** · 01.09.2011, 16:36

Зажав шифт, вставил флешку. Пока рылся в папке RECYCLER Доктор веб сам нашёл вирус и удалил его. Ещё раз большое спасибо, теперь точно всё.

**CyberHelper** · 02.09.2011, 16:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\\recycler\\kos-2-3-41-0000010000-0000010000-0000010000-0100\\wincache.exe - Backdoor.Win32.Floder.cwb ( DrWEB: Trojan.Inject1.99, BitDefender: Gen:Variant.Graftor.842, AVAST4: Win32:Dropper-gen [Drp] )

Доктор веб определяет BackDoor.IRC.Bot.896 в номерных экзешниках в папке system32 (заявка № 108132)

Опции темы

Доктор веб определяет BackDoor.IRC.Bot.896 в номерных экзешниках в папке system32

Это понравилось:

Итог лечения

Похожие темы

vde3nju1.sys, ute3nju1.sys в папке system32

вирусы в папке system32

постоянно руткит X в папке system32

постоянно руткит X в папке system32

Что это за файлы в папке system32?

Ваши права в разделе