Показано с 1 по 17 из 17.

SpamTool.Win32.Small.z & Backdoor.Win32.IRCBot.csk не удаляются (заявка № 25619)

  1. #1
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31

    Question SpamTool.Win32.Small.z & Backdoor.Win32.IRCBot.csk не удаляются

    Здравствуйте Вам!

    Собственно, указанные в заголовке вирусы обнаруживаются в \windows\temp\1.tmp и 2.sys, соответственно. Танцы с различного рода бубнами славной победы не обеспечили.

    Соответствнно, ПОМОГИТЕ!!!!!!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Очень советую удалить Malwarebytes, ее использование может быть опасным.

    Потом выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\DOCUME~1\Mattini\LOCALS~1\Temp\musbehco.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
     QuarantineFile('c:\windows\felix.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25619 ).

    Очистите временные папки и кеш браузера.

    Кто обнаружил названных Вами зловредов, Malwarebytes?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31
    Этих зловредов обнаружил Касперский 7. Обещает удалить, перегружается, файлы и вирусы остаются. Dr.Web первого обнаруживал также под именем Trojan.EmailSpy.origin.

    Malwarebytes обнаружил и, как утверждает, ликвидировал штук 5 других вирусов в других местах. На вышеуказанных это впечатления не произвело.

    Тут теперь еще проблема - эксплорер сеть не видит.
    Последний раз редактировалось Mattini; 01.07.2008 в 15:02.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Не вижу Вашего карантина.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31
    Карантин направил. Прошу проощения за то, что поздно - восстанавлитвал доступв Интернет. Вот этот 'C:\DOCUME~1\Mattini\LOCALS~1\Temp\musbehco.sys' не нашелся.

    Felix.exe - приблуда нашего интернет-провайдера для авторизации и доступа в тырнет (на всякий случай...).

    Вирус плодит неустанно в \windows\temp\ файлы .tmp и .sys с номерными именами, на которые Касперский и ругается. После удаления IceSword-ом (так просто не удаляются) при перезагрузках начинают размножаться по новой.

    Еще, при включении у Касперского контроля целостности приложений он начинает (при запуске и-эксплорера) орать про попытки загрузки модулей приложениями svchost.exe, wuauclt.exe, iexplore.exe.
    Последний раз редактировалось Mattini; 02.07.2008 в 08:46.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Указанные файлы в temp скопируйте IceSwordом, запакуйте в архив с паролем virus и пришлите по правилам.

    Пункт 2 правил выполнялся (полная проверка CureIt!)?
    Последний раз редактировалось kps; 02.07.2008 в 13:44.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31
    Отправил файлы.

    Пункт 2 в части полной проверки не выполнялся, поскольку ... Короче, запускаю сейчас - о результатах сообщу.

    В результате, не сдюжил КурИт - отловил что-то, что-то поделал, а потом сказал, дескать "...память не может быть рид...", ну и скоропостижно исдох,перегрузив компутер. После перезагрузки свирусы опять на своем традиционном месте.
    Последний раз редактировалось Mattini; 02.07.2008 в 20:08.

  9. #8
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31

    Новые логи

    Новые логи:
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('musbehco');
    BC_DeleteSvc('catchme');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Важно знать, где Cureit! нашел вирусы? У Вас его лог сохранился?

    + Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31
    Итак.

    1. Скрипт выполнился сначала с ошибкой и вылетом AVZ, потом прошел в безопасном режиме, потом, после пары перезагрузок и сканирования Gmer-ом прошел и в обычном режиме.

    2. Лог CureIt остался обрезанный на ошибке, но весит больше 38 Мб. Выдержку из него со строками с вирусами прилагаю.

    3. Gmer в обычном режиме вылетает с ошибкой. В защищенном прошел полностью, лог прилагаю.

    Вирусы по прежнему на месте в папке \temp\ уже расплодились в большом количестве файлов .tmp и .sys.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    У вас хитрый зловред. Сейчас будем удалять:
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True); 
    QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
    QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
    DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
    DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
    DeleteFileMask(NormalDir('%Tmp%'), '*.*', true);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25619 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи по правилам.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31
    Ок. Крантин выслал.
    Временные папки и др. почистил CCleaner-ом. Содержимое \Windows\Temp\ почистил IceSword-ом. Приступаю к генерации новых логов.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    И опишите еще, остались ли какие-нибудь проблемы.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31
    Новые логи прилагаю.

    Тот вирус вроде как больше не проявляется. В той самой папке \Temp\ пусто и это вселяет оптимизм.
    Вложения Вложения
    Последний раз редактировалось Mattini; 07.07.2008 в 12:59.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Особо ничего подозрительного больше в логах не видно. Разве что проверим вот это:
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    BC_QrFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин.

    Лучше проверьтесь еще раз свежим CureIt!.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #16
    Junior Member Репутация
    Регистрация
    01.07.2008
    Сообщений
    9
    Вес репутации
    31
    Карантин послал по ссылке, что чуть выше.

    Спасибо за красивую и эффективную работу.
    Последний раз редактировалось Mattini; 07.07.2008 в 12:57.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,526
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\документы\\settings\\abc32.dll - Trojan.Win32.Inject.dbw (DrWEB: Trojan.Inject.3585)
      2. \\1.tmp0 - SpamTool.Win32.Small.z (DrWEB: Trojan.EmailSpy.129)
      3. \\2.sys0 - Backdoor.Win32.IRCBot.csk (DrWEB: Trojan.NtUnhook)


  • Уважаемый(ая) Mattini, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. SpamTool.Win32.Small.z
      От Ruslanabk в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 09:07
    2. Backdoor.Win32.IRCBot.epu и TrojanDownloader.Win32.Mutant.aim
      От wideshut в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:51
    3. Trojan.Win32.LaSta + Backdoor.Win32.IRCBot.ekt
      От broomerr в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:02
    4. Backdoor.Win32.IRCBot.csk
      От LomasterPAS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 13:01
    5. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
      От Катерина в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2008, 16:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00796 seconds with 21 queries