Показано с 1 по 12 из 12.

Trojan.EmailSpy.origin и Backdoor.Win32.IRCBot.csk (заявка № 34225)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2008
    Сообщений
    6
    Вес репутации
    30

    Thumbs down Trojan.EmailSpy.origin и Backdoor.Win32.IRCBot.csk

    Доброе всем время суток.
    Помогите избавиться от вирусняка.
    В каталоге C:\Windows\Temp после перезагрузки появляются файлы
    цифра/буква.tmp или .sys.
    *.tmp - CureIt идентифицирует как Trojan.EmailSpy.origin, перемещает в карантин, KIS 7.0.119 вообще не реагирует.
    *.sys - KIS идентифицирует как Backdoor.Win32.IRCBot.csk, запускает лечение активных угроз, удаляет, перезагружается. После перезагрузки картина повторяется.
    Еще наблюдается странная картина: в безопасном режиме (в обычном не обратил внимание) в списке процессов периодически появляется и пропадает iexplore.exe, хотя Internet Explorer не запускался.
    Были еще зараженные файлы spool.exe и ftpdll.dll, но после нескольких прогонов KIS - вроде больше не появляются.
    Заранее благодарен.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    AVZ поломал Вам РАдмин.

    Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\temp\1.tmp','');
     QuarantineFile('msansspc.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Hns16.sys','');
     BC_DeleteSvc('Hns16');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('msansspc.dll');
     DeleteFile('c:\windows\temp\1.tmp');
     DeleteFile('C:\WINDOWS\Temp\1.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать новые логи.

    Загрузить карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    20.11.2008
    Сообщений
    6
    Вес репутации
    30
    Фиг с ним, с РАдмином, переустановим.
    После скрипта вроде еще что-то осталось, мне наверное просто комп не надо было выключать.
    После проверки карантин DrWeb я почистил, что бы AVZ не ругалась.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    20.11.2008
    Сообщений
    6
    Вес репутации
    30
    up

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Очистить временные папки, кеш браузера, повторите логи...

    Вам нужно срочно установить SP3 иначе надоест от заразы отмахиваться...

  7. #6
    Junior Member Репутация
    Регистрация
    20.11.2008
    Сообщений
    6
    Вес репутации
    30
    Ок, счас пришлю.
    А SP2 недостаточно? Как-то о 3-м отзывы не очень...

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Не хватит, SP3 нужно ставить, у меня вон стоит с момента выхода, пока не помер

  9. #8
    Junior Member Репутация
    Регистрация
    20.11.2008
    Сообщений
    6
    Вес репутации
    30
    Ловите логи.
    Вложения Вложения

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Temp\1.tmp');
     DeleteFile('c:\windows\temp\2.tmp');
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  11. #10
    Junior Member Репутация
    Регистрация
    20.11.2008
    Сообщений
    6
    Вес репутации
    30
    Достал меня этот комп.
    FORMAT C: Enter

    Всем спасибо за помощь.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Для чего спрашивается мы старались?

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\doctorweb\\quarantine\\3.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
      2. c:\\documents and settings\\admin\\doctorweb\\quarantine\\7.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
      3. c:\\windows\\temp\\1.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
      4. c:\\windows\\temp\\3.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
      5. c:\\windows\\temp\\5.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)


  • Уважаемый(ая) EdwardH, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Backdoor.Win32.IRCBot.lgq
      От redF в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 24.07.2009, 23:26
    2. Backdoor.Win32.IRCBot.lha
      От Reanimator177 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 12:14
    3. Trojan.Win32.LaSta + Backdoor.Win32.IRCBot.ekt
      От broomerr в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:02
    4. Backdoor.Win32.IRCBot.csk
      От LomasterPAS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 13:01
    5. Trojan.Downloader.origin & BackDoor.Mbot
      От Saxa-35 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.03.2008, 16:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01318 seconds with 22 queries