-
Junior Member
- Вес репутации
- 58
Вирус BackDoor.IRC.Sdbot
Доброго времени суток!
Вот завелся такой вирус. У меня установлен DrWeb с официальной лицензией, базы постоянно обновляю, SpIDer Guard постоянно запущен. Симптомы такие: когда подлючаюсь к интернету, через некоторое время DrWeb пишет что в разных системных файлах из System32 обнаружен вирус BackDoor.IRC.Sdbot.945 или BackDoor.IRC.Sdbot.2665, дает его лечить, вроди даже пролечивает. И вот после 3-5 таких лечений выдается сообщение, что компьютер будет перезагружен через 1 мин, что и происходит.
Я загружался с CD и полностью проверял компьютер DwWeb'ом, он что-то находил удалял, но проблема не исчезла.
Если Вы мне поможете буду ОЧЕНЬ БЛАГОДАРЕН!!!
Все сделал по вашим правилам.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 58
Видимо с этим вирусом не удалось справиться?
или я что-то не по правилам сделал?
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Windows Microsoft Service] qwwvmjfb.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] apps.exe
O4 - HKLM\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\Run: [Windows Secure Fix] iPodFixer.exe
O4 - HKLM\..\Run: [MicroSoft Visual SP] igxdfdfds.com
O4 - HKLM\..\Run: [Windows Service Agent] svcvrx32.exe
O4 - HKLM\..\RunServices: [Windows Microsoft Service] qwwvmjfb.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] apps.exe
O4 - HKLM\..\RunServices: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunServices: [Windows Secure Fix] iPodFixer.exe
O4 - HKLM\..\RunServices: [MicroSoft Visual SP] igxdfdfds.com
O4 - HKLM\..\RunServices: [Windows Service Agent] svcvrx32.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] apps.exe
O4 - HKLM\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKLM\..\RunOnce: [Windows Secure Fix] iPodFixer.exe
O4 - HKLM\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com
O4 - HKCU\..\Run: [Microsoft Windows Update] apps.exe
O4 - HKCU\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKCU\..\Run: [Windows Secure Fix] iPodFixer.exe
O4 - HKCU\..\Run: [MicroSoft Visual SP] igxdfdfds.com
O4 - HKCU\..\Run: [Windows Service Agent] svcvrx32.exe
O4 - HKCU\..\RunOnce: [Windows Secure Fix] iPodFixer.exe
O4 - HKCU\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] apps.exe
O4 - HKCU\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winiogon.exe');
TerminateProcessByName('c:\windows\system32\syst3m32.exe');
TerminateProcessByName('c:\windows\system32\svcvrx32.exe');
TerminateProcessByName('c:\windows\system32\ipodfixer.exe');
TerminateProcessByName('c:\windows\system32\igxdfdfds.com');
TerminateProcessByName('c:\windows\system32\apps.exe');
TerminateProcessByName('c:\windows\system32\algs.exe');
QuarantineFile('C:\WINDOWS\System32\lssas.exe','');
QuarantineFile('C:\WINDOWS\System32\stmctrl.dll','');
QuarantineFile('C:\WINDOWS\System32\iPodFixer.exe','');
QuarantineFile('C:\WINDOWS\System32\igxdfdfds.com','');
QuarantineFile('C:\WINDOWS\System32\svcvrx32.exe','');
QuarantineFile('C:\WINDOWS\System32\winIogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Syst3m32.exe','');
QuarantineFile('c:\windows\system32\winiogon.exe','');
QuarantineFile('c:\windows\system32\syst3m32.exe','');
QuarantineFile('c:\windows\system32\svcvrx32.exe','');
QuarantineFile('c:\windows\system32\igxdfdfds.com','');
QuarantineFile('c:\windows\system32\ipodfixer.exe','');
QuarantineFile('c:\windows\system32\apps.exe','');
QuarantineFile('c:\windows\system32\algs.exe','');
DeleteFile('c:\windows\system32\algs.exe');
DeleteFile('c:\windows\system32\apps.exe');
DeleteFile('c:\windows\system32\ipodfixer.exe');
DeleteFile('c:\windows\system32\igxdfdfds.com');
DeleteFile('c:\windows\system32\svcvrx32.exe');
DeleteFile('c:\windows\system32\syst3m32.exe');
DeleteFile('c:\windows\system32\winiogon.exe');
DeleteFile('C:\WINDOWS\System32\Syst3m32.exe');
DeleteFile('C:\WINDOWS\System32\winIogon.exe');
DeleteFile('C:\WINDOWS\System32\svcvrx32.exe');
DeleteFile('C:\WINDOWS\System32\igxdfdfds.com');
DeleteFile('C:\WINDOWS\System32\iPodFixer.exe');
DeleteFile('C:\WINDOWS\System32\stmctrl.dll');
DeleteFile('C:\WINDOWS\System32\lssas.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
-
Пофиксите
Код:
O4 - HKLM\..\Run: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKLM\..\RunServices: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKCU\..\Run: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKUS\S-1-5-18\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Secure Fix] iPodFixer.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MicroSoft Visual SP] igxdfdfds.com (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agent] svcvrx32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Winedows Updateing] NinKey.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] apps.exe (User 'SYSTEM')
Повторите логи
-
-
Junior Member
- Вес репутации
- 58
-
Пофиксите
Код:
O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe (User 'Default user')
Выполните скрипт
Код:
begin
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, Microsoft Winedows Updateing',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, MicroSoft Legal Syst3m32',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Microsoft Windows Update',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, Windows Secure Fix',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce, MicroSoft Visual SP',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Windows Microsoft Service',' ');
RebootWindows(true);
end.
После перезагрузки повторите логи начиная от п.10 правил.
Систему необходимо обновить иначе будете лечиться все свобдное время
-
-
Junior Member
- Вес репутации
- 58
Обновить систему - это имеется в виду переустановить? Ну если проще переустановить, я это сделаю, только вопрос такой: Вирус сидит только на диске С? Не получиться так что после переустановки зверюга останется?
-
Обновить - значит, установить Service Pack 3 и некоторое (пока небольшое) количество критических заплаток россыпью.
-
-
Пофиксите
Код:
O4 - HKLM\..\Run: [Windows Secure Fix] iPodFixer.exe
O4 - HKLM\..\RunServices: [Windows Secure Fix] iPodFixer.exe
O4 - HKLM\..\RunOnce: [Windows Secure Fix] iPodFixer.exe
O4 - HKCU\..\Run: [Windows Secure Fix] iPodFixer.exe
O4 - HKCU\..\RunOnce: [Windows Secure Fix] iPodFixer.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Secure Fix] iPodFixer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Secure Fix] iPodFixer.exe (User 'Default user')
Отключите Антивирус
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ipodfixer.exe');
DeleteFile('c:\windows\system32\ipodfixer.exe');
BC_DeleteFile('c:\windows\system32\ipodfixer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система у Вас дырявая, вот и лезут зловреды без конца Лечить такое - все равно, что воду в решете носить.
Повторите все 3 лога после ребута.
Последний раз редактировалось Rene-gad; 03.07.2008 в 12:25.
-
-
Junior Member
- Вес репутации
- 58
Про Service Pack 3 я понял, а что за "некоторое (пока небольшое) количество критических заплаток"?
Я так понял моей винде уже ничем не помочь нельзя
Извините, что отнял время, Rene-gad и pig ОГРОМНОЕ СПАСИБО!!!
-
Сообщение от
Ghost_64Rus
Про Service Pack 3 я понял, а что за "некоторое (пока небольшое) количество критических заплаток"?
Microsoft раз в месяц, иногда - по необходимости, выпускает заплатки, закрывающие уязвимости системы. Раз в 3-4 года Микрософт выпускает Сервис Пак, который содержит уже выпущенные заплатки + несколько фичей, повышающих защищенность системы. Дыры в системе ничем другим - ни Антивирусом, ни Файрволлом - закрыть нельзя. Поэтому регулярно обновлять систему очень важно.
Я так понял моей винде уже ничем не помочь нельзя
Если у Вас есть время, то я вынесу топик на консилиум.
Добавлено через 53 минуты
Предложение kps:
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ - скачать и проверить ПК, потом повторить логи
Последний раз редактировалось Rene-gad; 03.07.2008 в 15:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Время у меня конечно есть . Я наоборот думал у Вас его не много чтобы со мной возиться, точнее с моей дырявой виндой. Если Вы не против тогда поработаем еще .
Еще раз спасибо за помощь!
-
Сообщение от
Ghost_64Rus
Время у меня конечно есть
см. еще предложение коллеги kps (после Добавлено.. в предыдущем сообщении)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\algs.exe - Net-Worm.Win32.Kolabc.bsc (DrWEB: Trojan.Packed.162)
- c:\\windows\\system32\\apps.exe - Net-Worm.Win32.Kolabc.byp (DrWEB: Trojan.Packed.650)
- c:\\windows\\system32\\igxdfdfds.com - Net-Worm.Win32.Kolabc.ns (DrWEB: Trojan.Packed.650)
- c:\\windows\\system32\\ipodfixer.exe - Net-Worm.Win32.Kolabc.byp (DrWEB: Trojan.Packed.650)
- c:\\windows\\system32\\svcvrx32.exe - Backdoor.Win32.Rbot.qyn (DrWEB: Trojan.Inject.3572)
- c:\\windows\\system32\\syst3m32.exe - Backdoor.Win32.Rbot.gah (DrWEB: Trojan.Packed.650)
- c:\\windows\\system32\\winiogon.exe - Backdoor.Win32.IRCBot.dsk (DrWEB: BackDoor.IRC.Sdbot.3769)
-