Показано с 1 по 14 из 14.

BackDoor'ы одолевают. (заявка № 121994)

  1. #1
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    24

    BackDoor'ы одолевают.

    OS Windows XP SP3.
    Почти год живу в Окошках без постоянной антивирусной защиты. Соблюдая меры предосторожности, жил благополучно. Периодические проверки различными CureIt'ами показывали чистоту системы, да и по поведению компьютера это было похоже на правду.Однако пришлось-таки воспользоваться пару раз подозрительными приложениями. С некоторых пор стал замечать, что долго открываются сайты, прям как будто я пользуюсь не выделенной линией 30Мбит/с, а диал-ап'ом. ВКонтакте стала медленно грузиться почти вся музыка, а часто и вовсе недозагружаться; медленно грузятся видеоролики с youtube и т.п. Кроме того, FireFox после перезапуска стал быстро набирать "вес" в памяти и оставлять его резидентным по несколько дней стало проблематично - стало нужно перодически его закрывать, чего ранее НЕ наблюдалось.

    Всё вышеперечисленное, а также наступление необходимости регулярной/плановой проверки компьютера сподвигли меня на
    1 - проверку компьютера загрузочной флэшкой Касперского. Он нашёл несколько "зловредов", о которых я знаю и которые никак не могут причинить вред по ряду причин.
    2 - проверку компьютера CureIt'ом в безопасном режиме. Я выбрал НЕ "Быстрая проверка", которая включается по умолчанию, а "Полную проверку". CureIt выявил BackDoor.IRC.Sbot.14859 в приложении, которое я подозревал на ненадёжность. Этот же зловред нашёлся в "точках восстановления системы".

    Затем, действуя по плану, предписанному вашим сайтом проверил систему AVZ4 и HiJachThis'ом. AVZ4 обнаружил BackDoor.Win32.Rbot.acpj в приложении, которое тоже следовало бы подозревать И также в "точке восстановления системы". Есть ещё несколько странных ситуация, но они больше похожи на паранойю.
    Прошу вас оказать мне любезность и проверить мою систему на чистоту.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) AnVaCher, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,606
    Вес репутации
    111
    AnVaCher, C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\rar-password-recovery.exe Как раз на этот файл и идет детект. Вы её пользовались уже?

  5. #4
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    24
    Возможно. Я уже НЕ могу вспомнить точно. Я точно пользовался этим на другом компьютере, а про текущий запамятовал.

    Цитата Сообщение от Дeнис Посмотреть сообщение
    AnVaCher, C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\rar-password-recovery.exe Как раз на этот файл и идет детект. Вы ею пользовались уже?

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,606
    Вес репутации
    111
    AnVaCher, Удалите его,если скачивали не с проверенного сайта,иначе просто может быть вирус ,а не программа для восстановления паролей!

  7. #6
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    24
    Удалил. Можно ли систему считать чистой ?
    AVZ4 во время работы указывал и на доступ к компьютеру анономов и на запуск "лишних" служб... Часть я нашёл самостоятельно и устранил, действительно, некоторые политики были изменены. Я исправил, что увидел и что понимал. В остальном уповаю на вас, знатоки.

    Некоторые сайты продолжают загружаться подозрительно, в частности этот сайт. Пишу вам из под Убунты с другого компьютера, а с проверяемого компьютера virusinfo.info открывается долго, и порой вовсе НЕ открывается.

    Цитата Сообщение от Дeнис Посмотреть сообщение
    AnVaCher, Удалите его,если скачивали не с проверенного сайта,иначе просто может быть вирус ,а не программа для восстановления паролей!
    Последний раз редактировалось AnVaCher; 02.07.2012 в 20:07.

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,606
    Вес репутации
    111
    AnVaCher, Сделайте лог MBAM + лог RSIT

  9. #8
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    24
    Сделал.
    Цитата Сообщение от Дeнис Посмотреть сообщение
    Вложения Вложения

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,606
    Вес репутации
    111
    AnVaCher, В MBAM удалите только

    Код:
    Обнаруженные ключи в реестре:  3
    HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
    HKCR\50sovetov.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.

    Далее

    1.Отключите Антивирус/Фаервол.

    2.Выполните скрипт в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask('C:\program files\relevantknowledge', '*', true);
     DeleteDirectory('C:\program files\relevantknowledge');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После перезагрузки!


    3. Выполните скрипт в AVZ

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    ProxyServer = 74.221.64.9:3128 сами ставили?

    Далее

    Сделайте новые логи по правилам!

  11. #10
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    24
    В MBAM удалите только...
    ---
    Сделал.


    Далее
    1.Отключите Антивирус/Фаервол.
    ---
    Сделал. Можно ли уже включать ?

    2.Выполните скрипт в AVZ
    ---
    Сделал.

    После перезагрузки!
    Выполните скрипт в AVZ
    ---
    Сделал.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
    ---
    "Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен"
    Судя по длине файла (22 байта), он пустой.

    ProxyServer = 74.221.64.9:3128 сами ставили?
    ---
    Возможно. Использовал несколько разных прокси некоторое время. Сейчас не актуально.

    Далее
    Сделайте новые логи по правилам!


    Я и далее буду неукоснительно следовать вашим указаниям, но справедливости ради замечу, что лучше всего на ускорение работы Сети повлияло удаление из локалки "ударенного молнией" свича.
    Последний раз редактировалось AnVaCher; 03.07.2012 в 02:38.

  12. #11
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    24
    Я вернулся. Прошу прощения за вновь возрождённую тему.
    Я сделал проверку CureIt'ом в безопасном режиме и он снова нашёл BackDoor.IRC.Sbot.14859 в точках восстановления. "Значит что-то ещё живёт в моём компьютере", - подумал я и понял, что мне следовало отключить восстановление системы, как то предписано инструкцией. Я отключил ... и снова проверил.
    Затем проверил AVZ4 и HiJackThis'ом. Результат прикрепляю, как вы и просили.

    P.S. Когда подбирал файлы для прикрепления, обратил внимание, что файл virusinfo_cure.zip "весит" 640Кб.

    P.P.S. Как мне относиться к такому предупреждению AVZ4:
    "8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)" ?

    В списке служб \Мой компьютер - Управление - Службы\ я нашёл лишь некоторые из перечисленных.
    Вложения Вложения
    Последний раз редактировалось AnVaCher; 04.07.2012 в 21:07.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Цитата Сообщение от AnVaCher Посмотреть сообщение
    P.P.S. Как мне относиться к такому предупреждению AVZ4:
    Как к рекомендации. Можно отключить эти службы, если хотите.
    Если компьютер используется дома, будет даже полезно.

    Выполните содержащийся здесь скрипт для отключения указанных служб


    Код:
    begin
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RDSessMgr', 4);
    end.
    Скрыть


    Проблемы решены?

  14. #13
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    24
    Да. В системе чисто ли ?

    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    Проблемы решены?

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Ничего плохого не увидел.

  • Уважаемый(ая) AnVaCher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирусы одолевают (
      От Rubec в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 05.10.2009, 21:46
    2. Трояны одолевают((
      От AleXPander в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 06:19
    3. Вирусы одолевают
      От 31010 в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 22.02.2009, 05:16
    4. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
      От dimonavia в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 11.02.2008, 12:55
    5. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01483 seconds with 22 queries