Замучали два вируса win32.injector.WN и Win32.AvtoRun.IRCBot.BO worn

Printable View

13.08.2009, 20:42
RomarioRK

Вложений: 3

Замучали два вируса win32.injector.WN и Win32.AvtoRun.IRCBot.BO worn

Замучали два вируса win32.injector.WN и Win32.AvtoRun.IRCBot.BO worn
13.08.2009, 22:26
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\htdschk.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\lsass.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5496664438-4598541684-672052603-7226\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5496664438-4598541684-672052603-7226\mwau.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-5496664438-4598541684-672052603-7226', '*.*', true);
DeleteFile('C:\WINDOWS\system32\drivers\lsass.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\htdschk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
14.08.2009, 11:29
RomarioRK

Вложений: 3

Проблема осталась

Отправляю логи, сделал так как сказали, но проблема win32.AvtoRun.IRCBot.BO осталась, плюс появился IRC/SdBot trojan, что делать?
14.08.2009, 14:29
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\662GXLGA\xx6[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\662GXLGA\xx6[1].exe');
DeleteFileMask('C:\WINDOWS\system32','??.scr',false);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
14.08.2009, 17:36
RomarioRK

Вложений: 3

Сделал согласно ваших рекомендаций, посмотрите пожалуйста логи.

Когда включил Nod32 антивирусник дальше выдает сообщение о карантине и о попытке доступа к компу, в карантине идет ссылка на AvtoRan.IRCBot.Bo, Dialer.NGB trojan, Win32.Agent trojan..........Через некоторое время работы в инете выскакиевает системная ошибка нажав на ОК или Отмена зависат комп.
14.08.2009, 19:35
Rene-gad

Сделайте проверку на файловые вирусы: [url]http://virusinfo.info/showthread.php?t=15927[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=RomarioRK;448848]
Когда включил Nod32 антивирусник дальше выдает сообщение о карантине и о попытке доступа к компу[/QUOTE]Вы карантин закачали? Удалите его совсем: замаркируйте папку в Проводнике и нажмите Shift+Del
НОД должен быть отключен!!
14.08.2009, 21:42
RomarioRK

Проверил систему в безопасном режиме DrWeb - CureIT! (он нашел и удалил файл с расширением ipg и описал его как dialer.Siggin.121), но снова нет никакого результата.
При выпллнение последнего скрипта НОД отключил, включил его только после того как отправил вам логи.Вы писали что необходимо удалить карантин, а как это сделать?

Сейчас после входа в интернет НОД выдает вот такие сообщения:
14.08.2009 20:21:16 HTTP filter file http://bowlingbar.ch/c1.exe Win32/AutoRun.IRCBot.BO worm connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
14.08.2009 20:21:21 HTTP filter file http://94.76.194.116/d.exe
IRC/SdBot trojan connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
14.08.2009 17:45:50 HTTP filter file http://94.76.194.116/xx6.exe Win32/Dialer.NGB trojan connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
А через какое то время выскакиевает ошибка "Инструкция по адресу "0х6f8917c2" обратилась к памяти по адресу "0х6f8917c2" Память не может быть "read"" после чего зависает комп.
14.08.2009, 21:48
Rene-gad

[QUOTE=RomarioRK;449001]Вы писали что необходимо удалить карантин, а как это сделать?[/QUOTE]Я понял, что Вы карантин АВЗ имеете ввиду: папку ..avz\quarantine просто удалить :)

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
14.08.2009, 22:29
RomarioRK

Вложений: 1

Gmer логи.

Надежда умирает последней.:)
15.08.2009, 11:00
Rene-gad

[QUOTE=RomarioRK;449044]Gmer логи.[/QUOTE]
Ничего враждебного.
Обновите систему - перестанут враги стучаться
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
16.08.2009, 11:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]70[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]