Я БОТ !!!

Printable View

Показывать 40 сообщений этой темы на одной странице

09.06.2010, 18:59
ALEXANDER71

Я БОТ !!!

[COLOR=black]Остается добавить "[B]НЯ[/B]" к названию и станет понятен стиль моего общения с компьютером...Были две темы от меня-[B]NSSM[/B] и [B]NHL[/B],первую вроде вылечили(хотя до конца ли,непонятно),со второй сделать ничего не смогли-пришлось откатываться...Прошло дней пять и началось-"[B]Обнаружено Троянская программа Trojan-Downloader.BAT.Ftp.ab. Kaspersky Internet Security.Файл C:\WINDOWS\system32\eq[/B]"-такие вот сообщения по 20 раз на дню...А еще последние два дня такое:"[B]Запрещено: Использование программных интерфейсов системы (DNS) C:\WINDOWS\ SYSTEM32.EXE C:\WINDOWS\system32.exe Использование службы кэширования DNS запросов для преобразования tbt.mytijn.org[/B]" около 50000(пятидесяти тысяч) раз.Правда я это остановил каким-то скриптом из интернета(скрипт могу показать)...А еще DrWEB CUREIT таки нашел и грохнул:[/COLOR]
[COLOR=black]"[B]С:\[/B][B]WINDOWS\system32\nhl.[/B][B]exe инфицирован BackDoor.IRC.Sdbot.[/B][B]12924[/B]",а ничего не изменилось...Меня используют!!!Помогите!!!:furious3:[/COLOR]
09.06.2010, 19:18
polword

- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Проведите процедуру, которая описана в первом сообщении [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL]. Результат загрузки прикрепите к сообщению
09.06.2010, 22:48
ALEXANDER71

Файл сохранён как 100609_224129_virusinfo_files_879EC37AEA394C9_4c0fe0593217d.zip
09.06.2010, 22:58
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\windows\system32.exe');
DeleteFile('C:\WINDOWS\system32\winsys2.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32.dll');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('=.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
10.06.2010, 00:50
ALEXANDER71

ГОТОВО!
10.06.2010, 00:57
ALEXANDER71

А с найденым в Malware что делать то?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Да и,кстати,никак не хотят устанавливаться два обновления ".NET Framework 3.5",винда их уж пятый раз сегодня устанавливает,потом пишет,что все ОК,потом опять предлагает их же...
10.06.2010, 07:27
polword

- удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
[/CODE]

обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

-Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
10.06.2010, 21:30
ALEXANDER71

НЕТ НЕ ЗАКРЫТО

:ireful3:Он не исчез!!!Касперский(правда после долгого молчания)зафиксировал его!!!-"[B]10.06.2010 17:45:04 Запрещено Доступ к параметрам безопасности Запуск C:\WINDOWS\system32\ NHL.EXE nhl.exe Автоматический запуск[/B] " Да я его и сейчас вижу в папке SYSTEM32,даже логотип у него есть.А вот что сказал Virustotal:

[SIZE=3][FONT=Times New Roman]Результат: [COLOR=red]13[/COLOR]/41 (31.71%)[/FONT][/SIZE]

[CENTER][B][FONT=Times New Roman]Антивирус[/FONT][/B]
[B][FONT=Times New Roman]Версия[/FONT][/B]
[B][FONT=Times New Roman]Обновление[/FONT][/B]
[B][FONT=Times New Roman]Результат[/FONT][/B][/CENTER]

[FONT=Times New Roman]a-squared[/FONT]
[FONT=Times New Roman]5.0.0.26[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Virus.Win32.VBInject!IK[/COLOR][/FONT]
[FONT=Times New Roman]AhnLab-V3[/FONT]
[FONT=Times New Roman]2010.06.08.06[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]AntiVir[/FONT]
[FONT=Times New Roman]8.2.2.6[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Antiy-AVL[/FONT]
[FONT=Times New Roman]2.0.3.7[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Authentium[/FONT]
[FONT=Times New Roman]5.2.0.5[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Avast[/FONT]
[FONT=Times New Roman]4.8.1351.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Win32:Malware-gen[/COLOR][/FONT]
[FONT=Times New Roman]Avast5[/FONT]
[FONT=Times New Roman]5.0.332.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Win32:Malware-gen[/COLOR][/FONT]
[FONT=Times New Roman]AVG[/FONT]
[FONT=Times New Roman]9.0.0.787[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Dropper.Generic2.QFK[/COLOR][/FONT]
[FONT=Times New Roman]BitDefender[/FONT]
[FONT=Times New Roman]7.2[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]CAT-QuickHeal[/FONT]
[FONT=Times New Roman]10.00[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]ClamAV[/FONT]
[FONT=Times New Roman]0.96.0.3-git[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Comodo[/FONT]
[FONT=Times New Roman]5031[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Heur.Suspicious[/COLOR][/FONT]
[FONT=Times New Roman]DrWeb[/FONT]
[FONT=Times New Roman]5.0.2.03300[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]BackDoor.IRC.Sdbot.12924[/COLOR][/FONT]
[FONT=Times New Roman]eSafe[/FONT]
[FONT=Times New Roman]7.0.17.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Win32.VirToolVBInjec[/COLOR][/FONT]
[FONT=Times New Roman]eTrust-Vet[/FONT]
[FONT=Times New Roman]36.1.7618[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]F-Prot[/FONT]
[FONT=Times New Roman]4.6.0.103[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]F-Secure[/FONT]
[FONT=Times New Roman]9.0.15370.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Fortinet[/FONT]
[FONT=Times New Roman]4.1.133.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]GData[/FONT]
[FONT=Times New Roman]21[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Win32:Malware-gen[/COLOR][/FONT]
[FONT=Times New Roman]Ikarus[/FONT]
[FONT=Times New Roman]T3.1.1.84.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Virus.Win32.VBInject[/COLOR][/FONT]
[FONT=Times New Roman]Jiangmin[/FONT]
[FONT=Times New Roman]13.0.900[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Kaspersky[/FONT]
[FONT=Times New Roman]7.0.0.125[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]McAfee[/FONT]
[FONT=Times New Roman]5.400.0.1158[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]McAfee-GW-Edition[/FONT]
[FONT=Times New Roman]2010.1[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Artemis!98C60578B798[/COLOR][/FONT]
[FONT=Times New Roman]Microsoft[/FONT]
[FONT=Times New Roman]1.5802[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]VirTool:Win32/VBInject.gen!EC[/COLOR][/FONT]
[FONT=Times New Roman]NOD32[/FONT]
[FONT=Times New Roman]5183[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Norman[/FONT]
[FONT=Times New Roman]6.04.12[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]nProtect[/FONT]
[FONT=Times New Roman]2010-06-08.01[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Panda[/FONT]
[FONT=Times New Roman]10.0.2.7[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]Generic Malware[/COLOR][/FONT]
[FONT=Times New Roman]PCTools[/FONT]
[FONT=Times New Roman]7.0.3.5[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Prevx[/FONT]
[FONT=Times New Roman]3.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman][COLOR=red]High Risk Cloaked Malware[/COLOR][/FONT]
[FONT=Times New Roman]Rising[/FONT]
[FONT=Times New Roman]22.51.01.04[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Sophos[/FONT]
[FONT=Times New Roman]4.53.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Sunbelt[/FONT]
[FONT=Times New Roman]6420[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]Symantec[/FONT]
[FONT=Times New Roman]20101.1.0.89[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]TheHacker[/FONT]
[FONT=Times New Roman]6.5.2.0.295[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]TrendMicro[/FONT]
[FONT=Times New Roman]9.120.0.1004[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]TrendMicro-HouseCall[/FONT]
[FONT=Times New Roman]9.120.0.1004[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]VBA32[/FONT]
[FONT=Times New Roman]3.12.12.5[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]ViRobot[/FONT]
[FONT=Times New Roman]2010.6.8.2343[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]
[FONT=Times New Roman]VirusBuster[/FONT]
[FONT=Times New Roman]5.0.27.0[/FONT]
[FONT=Times New Roman]2010.06.08[/FONT]
[FONT=Times New Roman]-[/FONT]

:furious3::furious3::furious3::furious3::furious3::furious3::furious3::furious3::furious3::furious3::furious3:
Ну а все предыдущее я сделал...
10.06.2010, 21:41
polword

сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
10.06.2010, 22:14
ALEXANDER71

Странно на рабочем столе появился еще один значек IE,причем на одном из них стрелочка(типа ярлык для IE)???
10.06.2010, 22:28
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\nhl.exe','');
DeleteFile('c:\windows\system32\nhl.exe');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-47b47df4-n\msvcp71.dll','');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-47b47df4-n\jmc.dll','');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2bb1b491-n\decora-sse.dll','');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2bb1b491-n\decora-d3d.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
10.06.2010, 22:59
ALEXANDER71

[LEFT]Файл сохранён как 100610_225534_quarantine_4c113526ae1bd.zip
Размер файла 683544
MD 5ee9130b937718bfbc77f304dc06e45ad[/LEFT]
10.06.2010, 23:10
polword

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Что с проблемой?
10.06.2010, 23:47
ALEXANDER71

[B]polword[/B], Вроде тишина,nhl.exe из папки system32 исчез,Reg Organizer показал,что тоже чисто.Давайте подождем до завтра(ночью не выключаюсь)...В любом случае спасибо за помощь!...А интересная утилита OTC-грохнула даже резервный файл ComboFixа и его отчет на другом диске...
11.06.2010, 07:03
polword

обновите систему
11.06.2010, 09:58
ALEXANDER71

[QUOTE='polword;653128']обновите систему [/QUOTE]Вы имеете в виду [COLOR="Red"]полную переустановку[/COLOR]???????? (Кстати,он вернулся-"[B]11.06.2010 2:05:35 Удалено Троянская программа Trojan-Downloader.BAT.Ftp.ab C:\WINDOWS\system32\ ftp.exe ftp -n -s:eq C:\WINDOWS\system32\eq [/B]".)
11.06.2010, 11:33
polword

обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

после обновления сделайте комплект логов еще раз
11.06.2010, 20:18
ALEXANDER71

IE8 установил еще вчера,все обновил.А какие нужны логи?Сделал те,которые из [URL="http://virusinfo.info/showthread.php?t=1235"][B][COLOR=#0532aa]правила[/COLOR][/B][/URL].
11.06.2010, 20:22
polword

в логах чисто
11.06.2010, 21:56
ALEXANDER71

Да и Касперский пока молчит,кроме того утреннего...Подождем что-ли до завтра!:)

Показывать 40 сообщений этой темы на одной странице