Показано с 1 по 6 из 6.

Backdoor.Win32.IRCBot.avf - как задавить? (заявка № 15367)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2007
    Адрес
    Минск
    Сообщений
    6
    Вес репутации
    60

    Exclamation Backdoor.Win32.IRCBot.avf - как задавить?

    Добрый день!
    Столкнулся с подобным зверем, помогите пожалуйста избавиться. Логи прилагаются.
    Благодарю!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ps7alz2b.sys','');
     QuarantineFile('C:\WINDOWS\system32\basesrv32.dll','');
     QuarantineFile('.sys','');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\PagingSYS.sys');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E cellSpacing=5 cellPadding=3 width=400}');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=


    avz добила его да возможны проблемы Outpost при выполнении скрипта он должен быть отключен
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    15.12.2007
    Адрес
    Минск
    Сообщений
    6
    Вес репутации
    60
    Спасибо за помощь, оперативность и вообще! Карантин выслал. Действительно были проблемы с Outpost . С Наступающим!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Backdoor.Win32.IRCBot.avf C:\WINDOWS\svchost.exe

    Добавлено через 7 минут

    C:\WINDOWS\system32\basesrv32.dll

    AntiVir 7.6.0.45 2007.12.16 HEUR/Crypted
    Panda 9.0.0.4 2007.12.16 Suspicious file
    Webwasher-Gateway 6.6.2 2007.12.16 Heuristic.Crypted

    На всякий случай подождем ответа ВирЛаба

    Добавлено через 19 минут

    avz00002.dta, avz00003.dta, avz00004.dta
    Вредоносный код в файлах не обнаружен.

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    Что из этого не нужно?
    Последний раз редактировалось rubin; 16.12.2007 в 22:54. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Касперский передумал:
    C:\WINDOWS\system32\basesrv32.dll - Trojan-PSW.Win32.Nilage.bvx
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\basesrv32.dll');
    RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    Последний раз редактировалось AndreyKa; 23.12.2007 в 18:13.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Backdoor.Win32.IRCBot.avf (DrWEB: BackDoor.PifPaf)
      2. c:\\windows\\system32\\basesrv32.dll - Trojan-GameThief.Win32.Nilage.bvx (DrWEB: Trojan.Okuks.based)


  • Уважаемый(ая) Eagroup, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.IRCBot.lgq
      От redF в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 24.07.2009, 23:26
    2. Backdoor.Win32.IRCBot.lha
      От Reanimator177 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 12:14
    3. Backdoor.Win32.IRCBot
      От Johnick в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:40
    4. Backdoor.Win32.IRCBot.csk
      От LomasterPAS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 13:01
    5. Backdoor.Win32.IRCBot.wt
      От Demien в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 17.06.2007, 18:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00498 seconds with 18 queries