Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 53.

Не могу избавиться от Backdoor.IRC.Itan (заявка № 58967)

  1. #1
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53

    Exclamation Не могу избавиться от Backdoor.IRC.Itan

    Пользуюсь антивирусом доктор Веб, он находит эту дрянь, удаляет, а при перезагрузке она появляется вновь. Тут же появляется сообщение Generic Host Process for Win32 Services - обнаружена ошибка. Помогите пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Правила изучила. Перезагрузилась в безопасном режиме, но тут возник вопрос от какого: администратора или пользователя? Я мало понимаю в компьютерах, поэтому заранее извиняюсь за глупый вопрос.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Пока только в безопасном режиме пользователя!
    Последний раз редактировалось Rene-gad; 03.11.2009 в 20:11. Причина: ответил на вопрос публики :)

  6. #5
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Вот логи
    Также у меня появился virusinfo_cure.zip, нужно ли загрузить его?
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{40WcIYQZ-GGZQ-irKu-D8Su-1V7jUbe5yruL}');
     QuarantineFile('c:\Temp\Rar$EX00.922\SUR.exe','');
     DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
     QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
     QuarantineFile('C:\WINDOWS\Sf3TJ.exe','');
     TerminateProcessByName('c:\windows\system32\msdrvinf.exe');
     QuarantineFile('c:\windows\system32\msdrvinf.exe','');
     DeleteFile('c:\windows\system32\msdrvinf.exe');
     DeleteFile('C:\WINDOWS\Sf3TJ.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mx76SJBAbE1Qpw');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','pldELx9gvdHT9M82');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','pldELx9gvdHT9M82');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
     DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
     DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe');
    DeleteFileMask('C:\PROGRA~1\FieryAds', '*.*', true);
    DeleteDirectory('C:\PROGRA~1\FieryAds');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Вот новые логи
    Карантин тоже послала. Все ли пришло?

  9. #8
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    теперь у меня комп отказывается зайти на Ваш сайт. что делать?

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe');
     DeleteFileMask('c:\Temp','*.*',true);
     DeleteDirectory('c:\Temp');
     DelCLSID('SUR');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится

    Лог GMER сделан неверно, переделайте http://virusinfo.info/showthread.php?t=40118
    и новые логи AVZ

  11. #10
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Я по-прежнему не могу зайти на ваш сайт с зараженного копма. Поэтому логи я прислать не могу. Скрипт сделала. Что мне делать?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Вы же как-то ответили... Перенесите логи на съемном носителе

  13. #12
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Выхожу с телефона, поэтому не могу никуда перенести

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Без логов мы не можем увидеть что творится в Вашей системе. также необходим лог GMER, прикрепленный выше сделан неверно

    Выполните проверку при помощи Virus Removal Tool (ссылка в моей подписи)

  15. #14
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Хорошо. Логи появятся в понедельник, когда пойду учиться.
    У меня кстати с зараженного компа не только на ваш сайт зайти не может, но и на касперский, доктор веб.
    Проверяю комп, уже удалила net-worm.win32.kido.ih
    Последний раз редактировалось Rubi; 06.11.2009 в 13:44.

  16. #15
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Все сделала. На сайт теперь с зараженного компа заходить могу.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
     TerminateProcessByName('c:\windows\system32\userini.exe');
     TerminateProcessByName('c:\windows\mslsrv32.exe');
     TerminateProcessByName('c:\windows\services.exe');
     QuarantineFile('c:\windows\explorer.exe:userini.exe','');
     QuarantineFile('c:\Temp\Rar$EX00.922\SUR.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
     DeleteFile('C:\WINDOWS\mslsrv32.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     DeleteFileMask('c:\Temp','*.*',true);
     DeleteDirectory('c:\Temp');
     DelCLSID('SUR');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     BC_ImportALL;
     ExecuteSysClean;
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

    Затем:

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится eqguftmo.exe (gmer)
    Код:
    eqguftmo.exe -del service agqaqgxrz
    eqguftmo.exe -del service fxxuzxaak
    eqguftmo.exe -del service kqwchsnz
    eqguftmo.exe -del service mntsuvwhi
    eqguftmo.exe -del file "C:\WINDOWS\system32\orphojun.dll"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\agqaqgxrz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fxxuzxaak"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kqwchsnz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mntsuvwhi"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\agqaqgxrz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fxxuzxaak"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kqwchsnz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mntsuvwhi"
    eqguftmo.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится

    Сделайте новый лог gmer и новые логи AVZ

  18. #17
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Карантин прислала.
    Когда делала cleanup.bat не удалось найти указанный модуль по C:\WINDOWS\system32\orphojun.dll и Delete key
    Новые логи в процессе

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Когда делала cleanup.bat не удалось найти указанный модуль по C:\WINDOWS\system32\orphojun.dll и Delete key
    Ничего страшного. Выкладывайте логи

    Карантин получен

  20. #19
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    53
    Вот новые логи
    Вложения Вложения

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Запустите AVZ, выберите меню сервис - менеджер Active Setup
    Удалите оттуда:
    Код:
    c:\Temp\Rar$EX00.922\SUR.exe
    Перезагрузите ПК, сделайте новый лог virusinfo_syscheck.zip

  • Уважаемый(ая) Rubi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 18
      Последнее сообщение: 30.03.2009, 14:39
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:54
    3. Не могу избавиться от BackDoor.Bulknet
      От Egorka в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:49
    4. Как избавиться от BackDoor`a
      От GTM в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 01:56
    5. Не могу избавиться от BackDoor.Win32.IRCBot.csk
      От Куприянов Сергей в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.09.2008, 16:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01606 seconds with 17 queries