Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 2 Пациент 0 [HEUR:Trojan.Win32.Generic, Backdoor.Win32.Androm.dds ]

**BeGood** · 02.09.2015, 09:41

Собственно таже проблема, что и в http://virusinfo.info/showthread.php...47#post1310147
Скорее всего, от этого компьютера и пошло заражение. подозреваю, что с ним все хуже. Также заражение флешки и не переключается раскладка. Иногда краш системы.

Все та же Вин ХР, логи присутствуют, прошу помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.09.2015, 09:42

Уважаемый(ая) BeGood, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 02.09.2015, 10:06

Здравствуйте !!!

Пофиксите в HijackThis:

Код:

O4 - HKCU\..\Run: [Windows Live Installer] C:\Documents and Settings\БАРДИНА\Application Data\WindowsUpdate\Live.exe
O4 - HKCU\..\Run: [Windows Live] C:\Documents and Settings\БАРДИНА\Application Data\Windows Live\sfxptdpbsb.exe
O4 - HKCU\..\Run: [Windows Update Installer] C:\Documents and Settings\БАРДИНА\Application Data\WindowsUpdate\Updater.exe
O4 - HKCU\..\Run: [Rudkdb] C:\Documents and Settings\БАРДИНА\Application Data\Microsoft\Windows\themes\Rudkdb.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Live] C:\Documents and Settings\БАРДИНА\Application Data\Windows Live\sfxptdpbsb.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Update Installer] C:\WINDOWS\system32\config\systemprofile\Application Data\WindowsUpdate\Updater.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Update Installer] C:\WINDOWS\system32\config\systemprofile\Application Data\WindowsUpdate\Updater.exe (User 'Default user')

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\WindowsUpdate\Updater.exe','');
  QuarantineFile('C:\Documents and Settings\БАРДИНА\Application Data\WindowsUpdate\Updater.exe','');
  QuarantineFile('C:\Documents and Settings\БАРДИНА\Application Data\WindowsUpdate\Live.exe','');
  QuarantineFile('C:\Documents and Settings\БАРДИНА\Application Data\Windows Live\sfxptdpbsb.exe','');
  QuarantineFile('C:\Documents and Settings\БАРДИНА\Application Data\Microsoft\Windows\themes\Rudkdb.exe','');
  DeleteFile('C:\Documents and Settings\БАРДИНА\Application Data\Microsoft\Windows\themes\Rudkdb.exe','32');
  DeleteFile('C:\Documents and Settings\БАРДИНА\Application Data\Windows Live\sfxptdpbsb.exe','32');
  DeleteFile('C:\Documents and Settings\БАРДИНА\Application Data\WindowsUpdate\Live.exe','32');
  DeleteFile('C:\Documents and Settings\БАРДИНА\Application Data\WindowsUpdate\Updater.exe','32');
  DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\WindowsUpdate\Updater.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rudkdb');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
  RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
  RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**BeGood** · 03.09.2015, 01:18

Да, простите мне мою невежливость...

Здраствуйте!

Спасибо за скрипты, взял, прогнал на машине, отправил вам карантин. Выкладываю логи.
После скриптов раскладка снова стала переключаться (в без. реж.) и флешка тоже не заразилась.

**mrak74** · 03.09.2015, 09:44

отключите антивирусную программу

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine; 
  DeleteFile('C:\Documents and Settings\БАРДИНА\Application Data\Microsoft\Windows\themes\Rudkdb.exe','32');
  DeleteFile('C:\Documents and Settings\БАРДИНА\Application Data\WindowsUpdate\Updater.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rudkdb');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**BeGood** · 04.09.2015, 01:43

Выполнил скрипт в безопасном режиме и при выключенном антивирусе.

Логи прикладываю.

**mrak74** · 04.09.2015, 08:48

Сообщение от BeGood

Выполнил скрипт в безопасном режиме и при выключенном антивирусе.

Скрипт да, но лог новый необходимо делать только в обычном режиме.

У меня к Вам просьба, почистите систему ccleaner-ом, в том числе реестр. И только после этого сделайте новые логи AVZ и HijackThis, обязательно в обычном режиме.

**BeGood** · 07.09.2015, 01:19

Почистился клинером, в обычном режиме сделал логи.
Прикладываю.

**mrak74** · 07.09.2015, 08:28

C:\Program Files\PROWiSe\PROWiSe.exe

Сами устанавливали ? В остальном чисто. Что с проблемой ?

**BeGood** · 08.09.2015, 00:13

Проблема улетучилась после первых скриптов. Без понятия, что это. Подозреваю, что могло входить в комплект WinXP, там кастомная сборка.

За помощь спасибо!

**mrak74** · 08.09.2015, 09:44

Советы и рекомендации после лечения компьютера

**CyberHelper** · 08.09.2015, 09:54

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\бардина\application data\microsoft\windows\themes\rudkdb.exe - Backdoor.Win32.Androm.dds ( AVAST4: Win32:Malware-gen )
2. c:\documents and settings\бардина\application data\windows live\sfxptdpbsb.exe - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Malware-gen )
3. c:\documents and settings\бардина\application data\windowsupdate\live.exe - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Malware-gen )

Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 2 Пациент 0 [HEUR:Trojan.Win32.Generic, Backdoor.Win32.Androm.dds ] (заявка № 189384)

Опции темы

Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 2 Пациент 0 [HEUR:Trojan.Win32.Generic, Backdoor.Win32.Androm.dds ]

Это понравилось:

Итог лечения

Похожие темы

Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 1

BackDoor.IRC.NgrBot.42 не выводится( [Backdoor.Win32.Inject.wps ]

Тормозит нетбук. Файлы на флешках превратились в ярылки .lnk [Worm.Win32.Ngrbot.vwr, Worm.Win32.Ngrbot.vwh, Backdoor.Win32.Azbreg.xhh ]

Выкорчевать Trojan-Spy.Win32Zbot.wsu или BackDoor.Posion.767

Помогите выкорчевать эту дрянь

Ваши права в разделе