Вирус Instmtv.exe (похож по описанию на Backdoor.Win32.IRCBot.oml)

Printable View

12.05.2010, 11:45
trojandie

Вирус Instmtv.exe (похож по описанию на Backdoor.Win32.IRCBot.oml)

Здравствуйте. Сегодня ночью мною на диске С в корневом каталоге был обнаружен файлик [B]4x8q2y6t2e6.exe[/B] созданный в 1:32 . Так же он был запущен в процессах системы и прописан в реестре в авто запуске. С ним в это же время на диске были созданы файлы:
[B]bn[1].jpg
hh[1].exe
33.scr[/B]
[B]Instmtv.exe[/B] 288 КБ (в папке system32)
[B]number[1].asp[/B]
и пустой файл %WINDIR%\[B]logfile32.txt [/B]

Полазив в файлах через блокнот я нашёл много информации в том числе и ip-адреса, и сервера IRC один в один, как в описании тут -

[url]http://www.securelist.com/ru/descriptions/7264785/Backdoor.Win32.IRCBot.oml#doc3[/url]

Нашёл такие ссылки:
[I][url]http://91.195.118.56/Dialer_Min/number.asp/number.txt[/url]
[url]http://members.lycos.fr/proxyworld/azenv.php[/url]
[url]http://proxyworld.ifrance.com/azenv.php[/url]
[url]http://85.17.98.226/~avtest/azenv.php[/url]
java.baldmanpower.org
java.baldmanpower.net
java.baldmanpower.com[/I]

за исключением не совпадения его названия ( в моем случае это Instmtv.exe)

А также, на ноутбуке (никак не связанный с этим компьютером, кроме общего интернета, через роутер) был заражен в 22:30 тем же вирус, только вот на нём помимо таких же файлов, есть ещё Instmsx.exe созданный 24 апреля!

Помоги пожалуйста правильно вылечить компьютер от вируса! (или, если он где-то уже опознан то ссылочку на описание, где есть помощь в удалении.) Ну и главное я хочу понять, как я заразился! Так как в это время я, как раз таки сидел в mIRC(Quakenet) чатился... вроде не вылетал, всё нормально было) по инету не лазил...

Жду ответа, если надо файлы, я их переименовал (добавив .txt) залью !
12.05.2010, 11:48
V_Bond

[url]http://virusinfo.info/showthread.php?t=1235[/url]
12.05.2010, 12:27
trojandie

Вот ещё информация:
33.scr.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
hh[1].exe.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
Instmtv.exe.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
4x8q2y6t2e6.exe.txt. MD5 сумма: DBB3B20CCD0FDEC2BC7988C538D40092
bn[1].jpg.txt. MD5 сумма: DBB3B20CCD0FDEC2BC7988C538D40092
number[1].asp. MD5 сумма: 90ABFC621A869BE43FB703A4A3BC26F1

Это файлы, которые были созданы в это время.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Самое главное я хочу узнать, каким образом заразились оба компьютера! Причём я в это время ничего не делал, кроме чата в IRC Quakenet. Где кстати у нас парень появился, который Ддосит ребят по ip, кто не заходит к нему на канал, в итоге инет у них падает... вот мне кажется это он мне эту дрянь заслал как-то. Помогите, очень интересно, как заразился я... да и вылечится правильно хочу) я уже переименовал все файлы вируса в ручную и удалил из реестра ссылки на них, и из процессов этот файл - Instmtv.exe Так, что в логах там наверно всё чисто :(
12.05.2010, 12:38
Шапельский Александр

[QUOTE='trojandie;635831']... да и вылечится правильно хочу[/QUOTE][URL="http://virusinfo.info/pravila.html"]http://virusinfo.info/pravila.html[/URL]
12.05.2010, 21:03
trojandie

Вроде я всё сделал по правилам... залил логи, avz, avp tool искал - ничего не нашли. Не может быть, что я вручную весь вирус убил) И самое главное я хочу узнать, как компьютер заразился!
12.05.2010, 21:13
Шапельский Александр

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP185\A0075525.exe','');
QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP192\A0094031.EXE','');
QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP192\A0094032.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\WINDOWS\system32\notepad.exe','');
QuarantineFile('C:\WINDOWS\NOTEPAD.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
13.05.2010, 06:32
trojandie

Пофиксил, закачал.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Кстати, сами вирусы, что в начале писал
bn[1].jpg
hh[1].exe
33.scr
Instmtv.exe 288 КБ (в папке system32)
number[1].asp

я переименовал в .txt и кинул на диск D
Может вам нужны для изучения?:) Могу залить... Я очень хочу узнать каким образом я заразился! Чтобы снова не было такого... А то я чудом без антивиров нашёл вирус этот) и видимо сам в ручную его и остановил) хех=) боюсь, чтоб снова не поймать его:( а антивирами не люблю пользоваться - комп слабенький ( Скажите пожалуйста примерно, как я мог заразится, ведь в 1:32 я ничего не делал, интернет браузеры тоже запущены не были! Только mIRC с коннектом в Quakenet сеть и steam. Больше никаких сетевых программ... У меня подозрение, что это была атака правда каким-то IRC ботом через quakenet по моему ip . (так как ровно 4 часа до этого был заражён ноут этим же вирусов, причём доступ к файлам ноутбука и наоборот НЕ НАСТРОЕН! Флешки и сменные носители не использовал wi-fi на первом компьютере нет!

Единственное, что эти 2 компьютера объединяет это роутер, и общий ip-шник выделенки. Вопрос. Как я мог заразится?! Помогите.
13.05.2010, 10:34
thyrex

[QUOTE='trojandie;636289']я переименовал в .txt и кинул на диск D
Может вам нужны для изучения?[/QUOTE]Запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
13.05.2010, 12:26
trojandie

[QUOTE=thyrex;636359]Запакуйте с паролем virus и пришлите по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте лог [URL]http://virusinfo.info/showpost.php?p=457118&postcount=1[/URL][/QUOTE]

закачал. Сейчас лог кину.
13.05.2010, 13:25
trojandie

Log
13.05.2010, 13:32
thyrex

D:\Distribs\Дистрибутивы с Сашиного диска\VideoSplitter.exe пришлите по красной ссылке

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные файлы:
C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc86.exe (Trojan.VirTool) -> No action taken.
C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc87.scr (Trojan.VirTool) -> No action taken.
C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc88.exe (Trojan.VirTool) -> No action taken.
C:\Program Files\Vkontakte Picture 1.2.2\VkontaktePicture_1.2.2.exe.exe (Trojan.Fkantakte) -> No action taken.
D:\Vir\33.scr.txt (Trojan.VirTool) -> No action taken.
D:\Vir\4x8q2y6t2e6.exe.txt (Trojan.VirTool) -> No action taken.
D:\Vir\bn[1].jpg.txt (Trojan.VirTool) -> No action taken.
D:\Vir\hh[1].exe.txt (Trojan.VirTool) -> No action taken.
D:\Vir\Instmtv.exe.txt (Trojan.VirTool) -> No action taken.
D:\Distribs\Дистрибутивы с Сашиного диска\Anti Viruses\Quarantine\2008-08-13\avz00004.dta (Trojan.KillAV) -> No action taken.
D:\Distribs\Дистрибутивы с Сашиного диска\Anti Viruses\Quarantine\2010-05-12\avz00002.dta (Trojan.Agent) -> No action taken.[/CODE]
13.05.2010, 14:23
trojandie

Да VideoSplitter это прога для обрезания видео, я ей давно пользовался, странно, что многие утилиты ее за вирус считают.. окей, залил.
14.05.2010, 07:50
trojandie

Так как такими вирусами заражаются? Кто нибудь знает?
14.05.2010, 08:39
thyrex

Новый лог МВАМ где?
14.05.2010, 14:48
trojandie

log
14.05.2010, 15:04
trojandie

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Я это вручную в реестре исправил на 0, а "FirstRunDisabled" нужно тоже 0?
14.05.2010, 15:05
thyrex

Лог в порядке
14.05.2010, 15:39
trojandie

Так, как я мог заразиться этим Instmtv.exe ...? Как они закачались ко мне, если я даже интернет браузеры не запускал в то время...?
14.05.2010, 15:42
thyrex

Флешки, локальная сеть.

А вообще вопрос скорее к вирусным аналитикам
14.05.2010, 22:43
trojandie

Ясно... просто флешек я не сувал почти год) да и сетка с ноутом, который заразился раньше есть, но по ней только инет идет с роутера, а доступа к файлам нет! У меня подозрение, что это было умышленно. А что и написал сюда, что никогда не сталкивался с подобным и скорей всего не сам заразился а был заражен кем-то, кто узнал ip.
15.05.2010, 22:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \bn[1].jpg.txt - [B]Trojan.Win32.Dialer.vyg[/B] ( DrWEB: Trojan.Inject.8728, AVAST4: Win32:VB-PFB [Drp] )[*] c:\system volume information\_restore{6ab73188-775d-43fc-af00-4f71549acbc1}\rp192\a0094031.exe - [B]not-a-virus:Monitor.Win32.KeyLogger.oo[/B][*] c:\system volume information\_restore{6ab73188-775d-43fc-af00-4f71549acbc1}\rp192\a0094032.exe - [B]not-a-virus:Monitor.Win32.KeyLogger.oo[/B][*] c:\windows\notepad.exe - [B]not-a-virus:Monitor.Win32.KeyLogger.oo[/B][*] c:\windows\system32\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows[/B][*] c:\windows\system32\notepad.exe - [B]not-a-virus:Monitor.Win32.KeyLogger.oo[/B][*] \hh[1].exe.txt - [B]Backdoor.Win32.IRCBot.pcv[/B] ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )[*] \instmtv.exe.txt - [B]Backdoor.Win32.IRCBot.pcv[/B] ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )[*] \33.scr.txt - [B]Backdoor.Win32.IRCBot.pcv[/B] ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )[*] \4x8q2y6t2e6.exe.txt - [B]Trojan.Win32.Dialer.vyg[/B] ( DrWEB: Trojan.Inject.8728, AVAST4: Win32:VB-PFB [Drp] )[/LIST][/LIST]