И снова IrcBot.amc

У меня стоит NOD32 и ad-aware live , нод постоянно ругается на IrcBot.amc периодически после этого перестает работать интернет.

Как можно избавиться от этого вируса, читал на форуме что нужно ставить SP3 но не очень хочется это делать из-за пиратской винды встает криво и появляется много ошибок, есть альтернативные методы?

[QUOTE]Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]Логи на переделку

[QUOTE=thyrex;444232]Логи на переделку[/QUOTE]
обновил

[QUOTE=ArturP;444210]читал на форуме что нужно ставить SP3[/QUOTE]У Вас уже установлен СП3
[QUOTE]Platform: Windows XP SP3 (WinNT 5.01.2600)[/QUOTE]
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]

[QUOTE=Rene-gad;444422]У Вас уже установлен СП3[/QUOTE]

У меня стоит SP2, я правил реестр чтобы запускались некоторые игры требующие SP3.

up

В логах чисто.

Тем не мение проблема остается, ежедневно Ircbot долбит компьютер, Nod32 его видит.

[QUOTE=ArturP;446449]ежедневно Ircbot долбит компьютер[/QUOTE]Откуда долбит? Протокол НОД - в студию

[QUOTE=Rene-gad;446464]Откуда долбит? Протокол НОД - в студию[/QUOTE]
Подглючивает шрифт в ноде, не получилось скопировать лог, сделал скриншот :rtfm:

[URL="http://virusinfo.info/showpost.php?p=435039&postcount=2"]Чистота временных папок[/URL] - залог здоровья.
Вы их хоть когда-нибудь опорожняете?

[QUOTE=Rene-gad;446534][URL="http://virusinfo.info/showpost.php?p=435039&postcount=2"]Чистота временных папок[/URL] - залог здоровья.
Вы их хоть когда-нибудь опорожняете?[/QUOTE]
За пару недель накопилось, но дело то не во временных папках

[QUOTE=ArturP;447010]но дело то не во временных папках[/QUOTE]Мы с НОДом думаем иначе: посмотрите откуда исходят сигналы об опасности 8)

От очистки не меняется абсолютно ничего (((

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[QUOTE=Rene-gad;447914]- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.[/QUOTE]
Пожалуйста

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
QuarantineFile('C:\WINDOWS\system32\drivers\pctplsg.sys','');
end.
[/CODE]

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

есть

[QUOTE='Rene-gad;448997']- Закачайте карантин по ссылке [COLOR="Red"]Прислать запрошенный карантин[/COLOR] вверху темы (Приложение 3 правил).[/QUOTE]Уберите из вложений и отправьте по назначению

[QUOTE=thyrex;449100]Уберите из вложений и отправьте по назначению[/QUOTE]
Отправил

[QUOTE=ArturP;449099]есть[/QUOTE]
[QUOTE]У файла обнаружена цифровая подпись, которой мы доверяем [/QUOTE]
:)

Что это значит?

[QUOTE=ArturP;449291]Что это значит?[/QUOTE]Файл подписан производителем программного обеспечения - это вроде паспорта и знака незловредности ПО.

Жесть, как же этого паразита отловить, заметил за последние 2 дня долбить стал еще активнее.
и conficker лезет и ircbot >:(

У Вас динамический IP?

[QUOTE=Rene-gad;449330]У Вас динамический IP?[/QUOTE]
да

Этот комп прямо к Инету подключен или через внутреннюю сеть?
[QUOTE=ArturP;444210]читал на форуме что нужно ставить SP3 [/QUOTE]Без него не обойдется.

[QUOTE=Rene-gad;449333]Этот комп прямо к Инету подключен или через внутреннюю сеть?
Без него не обойдется.[/QUOTE]
Через виртуальную сеть, обычное Корбиновское подключение.

Через WHOIS можете источник атаки установить?

[QUOTE=Rene-gad;449339]Через WHOIS можете источник атаки установить?[/QUOTE]
Адреса меняются постоянно
к примеру [url]http://ws.arin.net/whois/?queryinput=10.65.116.119%3A13309[/url]

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%systemroot%\system32','??.scr',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Пролечитесь от файловых вирусов: [url]http://virusinfo.info/showthread.php?t=15927[/url]
- Повторите в точности действия, описанные в пп.2 и 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

все сделал, 12 объектов curelt! нашел

[QUOTE=ArturP;449555]все сделал, 12 объектов curelt! нашел[/QUOTE]Ну и? Атаки прекратились?

ПС: Забыл сказать - Ad-Aware выкиньте, штука абсолютно беполезная.

[QUOTE=Rene-gad;449567]Ну и? Атаки прекратились?
[/QUOTE]

нет >:( только что опять ircbot.anc из Temporary
что посоветуете поставить на замену ноду и ad-aware чтобы не очень сильно грузило систему?

[QUOTE]что посоветуете поставить на замену ноду и ad-aware чтобы не очень сильно грузило систему?[/QUOTE]
достаточно только одного антивируса ...

[QUOTE=V_Bond;449591]достаточно только одного антивируса ...[/QUOTE]
А какой именно ставить?

Кстати в плюс к старым проблемам с отключение интернета и атаками прибавилось еще одно, теперь в трее нет значка "соединение с интернетом" и в вкладке "Сетевые подключения" все подключения всегда в статусе "отключено" >:(

[QUOTE=ArturP;449587]
что посоветуете поставить на замену ноду[/QUOTE]Вам не о смене антивируса думать надо, а о том, откуда инфекция берется.
В принципе человек и без антивируса с нормально сконфигурированной и пропатченной системой и включенным brain.exe в нашей помощи не нуждается.

[QUOTE=Rene-gad;449928]Вам не о смене антивируса думать надо, а о том, откуда инфекция берется.
В принципе человек и без антивируса с нормально сконфигурированной и пропатченной системой и включенным brain.exe в нашей помощи не нуждается.[/QUOTE]
Я поэтому и обратился к вам, чтобы помогли, так как до этого стоял нод и годами проблем не возникало.
А brain.exe тут не причем, это не рядовая проблема с которой может справиться простой пользователь своими силами. >:(

[QUOTE=ArturP;449968]это не рядовая проблема с которой может справиться простой пользователь своими силами. [/QUOTE]ОК, не будем здесь открывать дискуссию :).
Пока не пропатчите систему - продолжайте лечиться от файловых вирусов. Там в теме есть сообщение 3 о VBA32. Попробуйте еще им.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]