Backdoor.IRC.Mishko (DrWeb)
Уважаемые хелперы.
Искал в сети кейген и нашел, на свою голову, файлик, запустив который, мой DrWeb обнаружил упомянутый в теме зловред в виде файла cctw32.dll в папке windows/system32. Из автозапуска файл прибил с помощью Хайджека. Сам файл Доктор убил, но на архив со зловредом молчит, в то время как на Вирустотал этот архив определяетсякак зловред 22 из 32 антивирусов.
Пожалуйста, посмотрите - не пришел ли ко мне на комп кроме Мишки ещё какой-нить Гришка.)))))
Большое спасибо заранее.
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:O4 - HKCU\..\Run: [Klass] C:\WINDOWS\svchost.exe
3. архив со зловредом запаковать в zip с паролем virus и по ссылке в шапке . карантин avz тоже загрузить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\osa9.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Закачан карантин АВЗ
Результат загрузки
Файл сохранён как 070915_120451_virus_46ec10b326697.zip
Размер файла 79849
MD5 dd9f026774578a721d5e3985279552bb
Файл закачан, спасибо!
Закачан зловред
Результат загрузки
Файл сохранён как 070915_120737_еее_46ec115989f2e.zip
Размер файла 173610
MD5 9972978d1a439c2bf392fb74b56f7c48
Файл закачан, спасибо!
Backdoor.Win32.VB.bdr
Backdoor.Win32.Agent.aou
Trojan-Downloader.Win32.VB.asz
(kaspersky)
Сделайте новые логи, посмотрим состояние пациента
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Мда, Мишка, оказывается, не один пришел.
Дронго, спасибо.
будем убивать осу? я так понял оса - агент?
Добавлено через 43 секунды
Делаю логи.
Последний раз редактировалось Лангольер; 15.09.2007 в 21:18. Причина: Добавлено
- троянская программа Backdoor.Win32.Agent.aouСообщение от Лангольер
новые логи конечно после удаления гадостиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\osa9.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Скрипт выполнен.
Логи.
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
Пофиксите с помощью Hijackthis строчку:И повторите логи, начиная с п. 10 правил.Код:O4 - HKLM\..\Run: [Office SturtUp] osa9.exe
Логи
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
Выполнить в AVZ скрипт:
Код:begin // Очистка файла Hosts ClearHostsFile; end.
Опыт — это слово, которым люди называют свои ошибки.
Скрипт выполнен без ошибок
Что из этого используется ?Код:Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
С удовольствием пооттключаю всё.
Буду благодарен за скрипт.
Лангольер,
P.S.По секрету всему свету скажу: скрипт уже готов в самом логе авз , который предоставили - просто нажать нужноКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
@Drongo.
Точно)
Скрипт выполнен без ошибок.
Анализы пациенту ещё раз сдать?
Уважаемый(ая) Лангольер, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
