Показано с 1 по 13 из 13.

Backdoor.Win32.IRCBot.lgq (заявка № 50393)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    7
    Вес репутации
    54

    Question Backdoor.Win32.IRCBot.lgq

    Добрый день. Периодически касперский ловит C:\WINDOWS\SYSTEM32\Ms08nx.exe Backdoor.Win32.IRCBot.lgq и
    C:\WINDOWS\SYSTEM32\Ms07.exe Backdoor.Win32.IRCBot.lgq. Удаляет их, иногда перезагружает систему, но через некоторое время снова их обнаруживает. Перед тем как касперский выдает сообщение об опасности в диспетчере задач появляется cmd.exe. При каждом событии добавляется новый cmd.exe, если их не завершать. Также иногда в диспетчере задач висит usb-mgr.exe, иногда он завершается с сообщением об ошибке(память не может быть written). С такой же ошибкой вылетает svchost.exe, если нажать ок, то интернет пропадает. Помогите пожалуйста. Спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\usb_mgr.exe');
     QuarantineFile('C:\WINDOWS\System32\Drivers\aqy2rbhf.SYS','');
     QuarantineFile('C:\Temp\mc26.tmp','');
     QuarantineFile('c:\windows\usb_mgr.exe','');
     DeleteFile('c:\windows\usb_mgr.exe');
     DeleteFile('C:\Temp\mc26.tmp');
     DeleteFile('C:\WINDOWS\System32\Drivers\aqy2rbhf.SYS');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    7
    Вес репутации
    54
    Удалил Bonjour с помощью скрипта.
    Очистил темп-папки, кэш и корзину.
    Высылаю повторные логи
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    рекомендации из поста 2 выполните повторно ... даже Bonjour на месте ...

  6. #5
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    7
    Вес репутации
    54
    еще разик:
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    7
    Вес репутации
    54
    C:\WINDOWS\SYSTEM32\Ms07 больше не появляется, а C:\WINDOWS\SYSTEM32\Ms08nx по-прежнему дает о себе знать. usb_mgr.exe снова появился. svchost.exe также вылетает с ошибкой. Плюс к этому каспер начал ловить попытки скачать файлы с hxxxxxp://mobi-sys.ru/ls1.exe ( 22.07.2009 16:52:13 Обнаружено: HEUR:Trojan.Win32.Generic Generic Host Process for Win32 Services hxxxxxp://mobi-sys.ru/ls1.exe). В c:/temp появляются exe-файлы, название которых состоит из трехзначных чисел (например 820.exe и 603.exe).
    Последний раз редактировалось Rene-gad; 22.07.2009 в 21:45.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    такой лог сделайте http://www.gmer.net/

  9. #8
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    7
    Вес репутации
    54
    При попытке просканировать систему со всеми отмеченными галочками, на сканировании ветки Software\Microsoft\Windows Script Host\Settings ПК уходит в ребут(пробовал несколько раз). Поэтому сделал два лога: GMER.log - все галки, кроме "Registry", отмечены, GMER_reg.log - отмечено только "Registry". Также появилось два новых процесса: Msddrv42.exe и userinit.exe.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните проверку cureit и повторите лог GMER

  11. #10
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    7
    Вес репутации
    54
    Просканировал CureIT, а также Kaspersky Virus Removal Tool.
    Вложения Вложения
    • Тип файла: log GMER.log (217.2 Кб, 3 просмотров)

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    что -то было найдено ?

  13. #12
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    7
    Вес репутации
    54
    CureIT удалил usb_mgr.exe, Msddrv42.exe, TNS.exe и H@tKeysH@@k.DLL...во время проверки после удаления usb_mgr.exe в процессах сразу же появился userinit.exe. после проверки и удаления всего найденного вывелось сообщение о необходимости перезагрузки. После ребута usb_mgr.exe снова был впроцессах, но CureIT больше на него не ругается. Про кучу exe-файлов в темпах (трехзначное_число.exe) ничего не сказала ни первая ни второя утилита.

    Добавлено через 4 минуты

    Забыл сказать, что C:\WINDOWS\SYSTEM32\Ms08nx.exe
    C:\WINDOWS\SYSTEM32\Ms07.exe также были удалены CureIT, но после ребута через некоторое время снова появляются в процессах
    Последний раз редактировалось redF; 23.07.2009 в 23:26. Причина: Добавлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\usb_mgr.exe - Trojan.Win32.Agent.cqun


  • Уважаемый(ая) redF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.IRCBot.lmf
      От dolphin_al в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.10.2009, 13:56
    2. Backdoor.Win32.IRCBot.lha
      От Reanimator177 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 12:14
    3. Backdoor.Win32.IRCBot
      От Johnick в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:40
    4. Backdoor.Win32.IRCBot.csk
      От LomasterPAS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 13:01
    5. Backdoor.Win32.IRCBot.wt
      От Demien в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 17.06.2007, 18:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01177 seconds with 20 queries