Семья BackDoor

Printable View

05.06.2007, 11:16
Kotiger

Вложений: 3

Семья BackDoor

Добрый день! суть проблемы в следующем: с неделю назад жутко начал тормозить компьютер. Установил Drweb со всеми обновлениями, он обнаружил BackDoor.Generic.1138. вроде как все вылечил, но при следующей проверке DrWeb начинал жутко тормозить и диск С: забивался под завязку какимито непонятными файлами размером метров 600-700. Вообщем, поудалял их из доса, почисти что нашел в реестре - вирус вроде как исчез(ДрВеб стал проверять нормально, лишние файлы на диске не появлялись). так красиво прошли 3 дня. НО... вчера ДрВеб обнаружил BackDoor.mailbot, лечю его или удаляю не имеет значения, он все равно появляется при следующей загрузке. И еще, в инете постоянно что-то качается. обновления все отключены это точно, потому что раньше ничего лишнего из инета не качалось. Посмотрел в инете информацию про этот вирус - почти 0. Нашел в автозагрузке лишние файлы(через msconfig), отключил их загрузку. Теперь компьтер стал грузиться под новым профилем ("старый профиль+всякие цифры буквы"). Сообщение об обнаружении BackDoor.mailbot исчезло, но счетчик трафика в интернете все также крутится без остановки...
что посоветуете, господа эксперты?
05.06.2007, 11:24
Kotiger

в довесок :(

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K5QPE7M9\lam[1].exe - инфицирован Trojan.MulDrop.6364
05.06.2007, 11:32
PavelA

[b]Drongo[/b] думается скрипт напишет, а так краткий итог: полный зоопарк при наличии ломалки ХР и отсутствии SP2.
05.06.2007, 11:33
drongo

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\win32host.exe','');
QuarantineFile('c:\windows\system32\wintasks32.exe','');
QuarantineFile('c:\windows\win32host.exe','');
QuarantineFile('c:\windows\system32\taskmngr32.exe','');
QuarantineFile('C:\WINDOWS\MsLS32.exe','');
DeleteFile('C:\WINDOWS\MsLS32.exe');
DeleteFile('c:\windows\system32\taskmngr32.exe');
DeleteFile('c:\windows\win32host.exe');
DeleteFile('c:\windows\system32\wintasks32.exe');
DeleteFile('C:\WINDOWS\win32host.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('win32host');
BC_DeleteSvc('MsLS32');
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.
[/code]
2. Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=10186[/URL]
3.Повторить логи по правилам и прикрепить к следующему ответу.

Ho, это лечение примерно на [B]пол-часа[/B] гулянья по интернету.

Если уж советовать на более долгое время то вот такой совет:

1.Полный формат диска С (хотя бы)
2.Поставить XP с интегрированной SP2 на диск C , обновиться потом с сайта микрософта.
3.Сделать имидж диска C, например с acronis true image.
4.Поставить все нужные программы , антивирус , файрвол , настроить!
5.Отключить не нужные службы windows.
6.Сделать имидж диска C, например с acronis true image.
7.Получать удовольствие ;)
05.06.2007, 11:43
Kotiger

АВЗ Выкидывает ошибку:
Ошибка: undeclared identifier: 'Clear Hosts' в позиции 19:11

[COLOR="Red"]Сделано умышленно, чтобы раньше времени не исполняли . специально для тех, кто не читает красным цветом .[/COLOR]
05.06.2007, 11:45
Kotiger

ХР ломанная конечно, думаю на 99% домашних компов она такая.
сервис пак только 1 :( понимаю что слабо. но должен же быть выход :)
05.06.2007, 12:06
Kotiger

Вложений: 2

скрипт прошел. высылаю логи
05.06.2007, 12:10
Kotiger

Совет ясен. спасибо.
П.С. лечение на полчаса из-за наличия доступа к интернет?
просто есть еще 5 машин, на которых теже симптомы. не получится отделаться малой кровью?
05.06.2007, 12:11
Kotiger

П.П.С. на этих 5 машина доступ в интернет отсутствует
05.06.2007, 12:12
drongo

[url]http://virusinfo.info/showpost.php?p=114065&postcount=4[/url]
05.06.2007, 12:14
drongo

[quote=Kotiger;114083]П.П.С. на этих 5 машина доступ в интернет отсутствует[/quote]
Если без интернета , тогда жить можно если не заносить флешки/диски со зверями ;)
05.06.2007, 12:18
PavelA

[QUOTE=drongo;114087]Если без интернета , тогда жить можно если не заносить флешки/диски со зверями ;)[/QUOTE]
Добавлю: и не иметь расшаренных папок на запись. :) Имеется в виду на машинах без инета.
05.06.2007, 12:18
Kotiger

Закачал карантин.
А нельзя сначала провести это лечение на пол часа а потом переустановить винду ХР с СП2?
22.02.2009, 01:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\taskmngr32.exe - [B]Trojan-Proxy.Win32.Agent.hd[/B] (DrWEB: Trojan.Proxy.1067)[*] c:\\windows\\system32\\wintasks32.exe - [B]Backdoor.Win32.Rbot.gen[/B] (DrWEB: Win32.HLLW.MyBot.based)[*] c:\\windows\\win32host.exe - [B]Backdoor.Win32.DsBot.bp[/B] (DrWEB: BackDoor.IRC.Sdbot.based)[/LIST][/LIST]