новейший вирус

Printable View

14.06.2011, 16:58
mic149

новейший вирус

поймал новый вирус, его не детектирует drweb, kaspersky, avast, mcafee.
дарю для исследования! :D
пароль на архив virus
14.06.2011, 17:46
mic149

подскажите как лечить!
послал еще и в др.веб

[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]

а как же вам прислать вирус на исследование?
14.06.2011, 17:50
Bratez

[QUOTE='mic149;797772']подскажите как лечить![/QUOTE]

[B]mic149[/B], Вы вроде как не новичок уже на форуме...
Даже неудобно как-то про правила напоминать.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='mic149;797772']а как же вам прислать вирус на исследование?[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=37678[/url]
14.06.2011, 17:52
mic149

можно ли на основании данного вируса прописать лечение?
или необходимо все делать по протоколу, с логами?
... все понял...

прошу прощения за нарушение правил.
закачал вирус теперь как положено:
Результат загрузки

Файл сохранён как 110614_140204_jodrive32_4df769dcc87ec.zip
Размер файла 136540
MD5 e8ac79306ffed3f52115e810b7d3427a
Файл закачан, спасибо!

------------------------------
логи буду завтра выкладывать
14.06.2011, 18:20
mic149

успел сегодня

virusinfo_cure.zip не пустой
14.06.2011, 18:36
mic149

drweb
ответил что внесет эти вирусы в свою базу как:

Угроза: BackDoor.IRC.Bot.166
Угроза: Trojan.DownLoader3.30365
---------------------------------------------------------------------------------
как лечить - вопрос открытый :(
14.06.2011, 20:22
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\87.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
QuarantineFile('C:\WINDOWS\system32\62.exe','');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
QuarantineFile('C:\WINDOWS\system32\27.exe','');
QuarantineFile('C:\WINDOWS\system32\05.exe','');
QuarantineFile('C:\WINDOWS\System32\20.exe','');
TerminateProcessByName('c:\windows\jodrive32.exe');
QuarantineFile('c:\windows\jodrive32.exe','');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\WINDOWS\System32\20.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Window DLL Service');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
15.06.2011, 11:51
mic149

вирус начал хавать другие компьютеры в сети... :(

Логи:
15.06.2011, 15:57
mic149

вирус все еще резвится! :(
15.06.2011, 16:04
Acidorum

Здравствуйте!
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите все найденное в MBAM[/URL].
15.06.2011, 16:27
mic149

сделал это тогда, когда лог делал.
на всякий случай просканировал еще раз:

Malwarebytes' Anti-Malware 1.51.0.1200
[url]www.malwarebytes.org[/url]

Версия базы данных: 6859

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 16:25:14
mbam-log-2011-06-15 (16-25-14).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 175529
Времени прошло: 6 минут, 27 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 0

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
(Вредоносных программ не обнаружено)
15.06.2011, 16:29
Acidorum

Чисто, как видите.
Что с проблемой?
15.06.2011, 16:49
mic149

после перезагрузки mbam опять ругается:

16:39:06 knife DETECTION C:\Documents and Settings\knife\Application Data\A.tmp Trojan.Downloader QUARANTINE
16:39:16 knife DETECTION C:\Documents and Settings\knife\Application Data\B.tmp Trojan.Downloader QUARANTINE
16:39:26 knife DETECTION C:\Documents and Settings\knife\Application Data\C.tmp Trojan.Downloader QUARANTINE
16:39:57 knife DETECTION C:\scsm32.exe Trojan.Downloader QUARANTINE

и это при том, что при загрузке отработал avast и поубивал вирусы, какие нашел.
15.06.2011, 16:51
Acidorum

Сделайте опять лог MBAM.
15.06.2011, 17:57
mic149

mbam его не видит.
сейчас ставлю обновления на виндоус.
что система заражена видно по флешкам которые вставляешь в комп: вирус сразу прописывается на флешку.

... извините: что-то видит, делаю сканирование.
15.06.2011, 18:02
Acidorum

Что с проблемой?
15.06.2011, 18:23
mic149

всё, вирус убит.
спасибо!
было бы клёво, если бы кто-нибудь намутил утилиту лечения от этого вируса. :)
спасибо еще раз
16.06.2011, 18:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\jodrive32.exe - [B]Backdoor.Win32.Floder.it[/B] ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\05.exe - [B]Backdoor.Win32.IRCBot.tpi[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Gen:Variant.Strictor.1356, AVAST4: Win32:Downloader-HYN [Trj] )[*] c:\\windows\\system32\\27.exe - [B]Backdoor.Win32.IRCBot.tpi[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Gen:Variant.Strictor.1356, AVAST4: Win32:Downloader-HYN [Trj] )[*] c:\\windows\\system32\\30.exe - [B]Backdoor.Win32.IRCBot.tpi[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Gen:Variant.Strictor.1356, AVAST4: Win32:Downloader-HYN [Trj] )[*] c:\\windows\\system32\\31.exe - [B]Backdoor.Win32.IRCBot.tpi[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Gen:Variant.Strictor.1356, AVAST4: Win32:Downloader-HYN [Trj] )[*] c:\\windows\\system32\\62.exe - [B]Backdoor.Win32.IRCBot.tpi[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Gen:Variant.Strictor.1356, AVAST4: Win32:Downloader-HYN [Trj] )[*] c:\\windows\\system32\\73.exe - [B]Backdoor.Win32.Floder.it[/B] ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\78.exe - [B]Worm.Win32.AutoRun.clhp[/B] ( DrWEB: BackDoor.IRC.Bot.1667, BitDefender: Trojan.Generic.6759346, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\87.exe - [B]Backdoor.Win32.IRCBot.tpi[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Gen:Variant.Strictor.1356, AVAST4: Win32:Downloader-HYN [Trj] )[/LIST][/LIST]