-
BackDoor.IRC.Bot.166
Здравствуйте!
С недавнего времени начали появляться exe файлы в system32 с двумя цифрами в имени(24, 01, 86 и т.п.) Начал пропадать звук в видео(сис. звуки и музыка есть), панели окон и трей меняются со стиля windows XP на Классический стиль.
Загружались в безопасном режиме, сканировали(сис. папки) CureIt'ом, находил эти exe и удалял, но они появлялись снова. Загружались с LiveCD, сканировали(опять же только сис. папки) всё так же находил и удалял. Проблема не решилась, PC Tools Firewall Plus перехватывал эти экзешники. Даже загружались через убунту, проверяли dr. Web'ом папки win, все эти вирусы распознает как BackDoor.IRC.Bot.166. Что делать уже не знаем, решили обратиться к вам. Заранее спасибо.
-
1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('GarenaPEngine');
QuarantineFile('C:\Мои документы\-\ВСЯКОЕ\2003\Б\Бакшанадева\Бакшандаева.rar','');
QuarantineFile('C:\Documents and Settings\faint\Мои документы\МИФИ\Delphi 6\Задание 4\Задача 1 (светофор)\Project1.exe','');
QuarantineFile('G:\Downloads\Torrent\l2c6\lineage2c6\system\npkcrypt.sys','');
QuarantineFile('J:\distr\Пароли\Multi Password Recovery\mpr_freader.sys','');
QuarantineFile('C:\WINDOWS.0\system\sservice.exe','');
QuarantineFile('C:\WINDOWS.0\system32\fservice.exe','');
QuarantineFile('C:\WINDOWS.0\TEMP\LQZ3C66.tmp','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\BSzBT.exe','');
DeleteFile('C:\WINDOWS.0\system\sservice.exe');
DeleteFile('C:\WINDOWS.0\system32\fservice.exe');
DeleteFile('C:\WINDOWS.0\TEMP\LQZ3C66.tmp');
DeleteFile('C:\WINDOWS.0\system32\drivers\BSzBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DelCLSID('{5Y99AE78-58TT-11dW-BE53-Y67078979Y}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) Сделайте новый лог virusinfo_syscheck.zip + такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
Remote Administrator Service (C:\WINDOWS.0\system32\r_server.exe) - сами ставили?
-
Вот логи. Radmin сам ставил.
-
Карантин загрузите по правилам !
-
+ [B]snifer67[/B]
Удалите в [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"][B]mbam[/B][/URL]:
[CODE]Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{5y99ae78-58tt-11dw-be53-y67078979y} (Backdoor.ProRat) -> No action taken.
Заражено папок:
C:\Documents and Settings\faint\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
Заражено файлов:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GSNVE3H4\61[2].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\faint\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\faint\delself.bat (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\41.exe (Trojan.FakeAlert) -> No action taken.[/CODE]
Сделайте новый лог mbam.
Карантин обязательно загрузите:
[QUOTE]Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.[/QUOTE]
-
[QUOTE]Карантин загрузите по правилам[/QUOTE]
Загрузил. Извините. Спасибо.
-
-
Чисто.Что с проблемой ?
Установите Internet Explorer 8
-
После последней проверки Нод поймал еще 3 файла и удалил. Поставили Critical pre SP4 для Windows XP SP3(там был IE8). После этого вирусы больше не вылезали, со звуком и панелями все в порядке. Всем спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00352 seconds with 10 queries