Показано с 1 по 10 из 10.

Червь AutoRun.IRCBot.HY (заявка № 101602)

  1. #1
    Junior Member Репутация
    Регистрация
    30.04.2011
    Сообщений
    5
    Вес репутации
    25

    Thumbs up Червь AutoRun.IRCBot.HY

    Доброго времени суток всем! Пожалуйста, помогите замучал червь AutoRun.IRCBot.HY, нод очищает удалением но каждый раз появляется вновь. Инет перестает работать вскоре, хотя если ранее поставить качать что то, то продолжается скачивание, а в браузере страницы не открываются

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    procedure WhatService(AServiceName : string);
      var
       dllname, servicekey : string;
      begin
       servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
       RegKeyResetSecurity( 'HKLM', servicekey);
       RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
       AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
       AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
       AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
       dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
       AddToLog('ServiceDll: '+dllname);
       QuarantineFile(dllname,'');
      end;
     begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      WhatService('lylvjhgs');
      QuarantineFile('C:\WINDOWS\system32\31.exe','');
      DeleteFile('C:\WINDOWS\system32\31.exe');
      BC_ImportAll;
      ExecuteSysClean;
      ExecuteWizard('TSW', 2, 2, true);
      ExecuteWizard('SCU', 2, 2, true);
      BC_Activate;
      SaveLog(GetAVZDirectory+'lylvjhgs.log');
      RebootWindows(true);
     end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - поставте Adobe Reader 10 или удалите старый.

    После обновления:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - файл lylvjhgs.log прикрепите к сообщению
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    30.04.2011
    Сообщений
    5
    Вес репутации
    25
    Все сделал!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
     var
      i : integer; 
      KeyList : TStringList;
      KeyName : string;                           
     begin
      RegKeyResetSecurity(ARoot, AName);
      KeyList := TStringList.Create;
      RegKeyEnumKey(ARoot, AName, KeyList);
      for i := 0 to KeyList.Count-1 do
       begin
        KeyName := AName+'\'+KeyList[i];
        RegKeyResetSecurity(ARoot, KeyName);
        RegKeyResetSecurityEx(ARoot, KeyName);
       end;
      KeyList.Free;
     end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
     var
      i : integer;
      KeyList : TStringList;
      KeyName : string;                           
     begin
      Result := 0;
      if StopService(AServiceName) then Result := Result or 1;
      if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
      KeyList := TStringList.Create;
      RegKeyEnumKey('HKLM','SYSTEM', KeyList);
      for i := 0 to KeyList.Count-1 do
       if pos('controlset', LowerCase(KeyList[i])) > 0 then
        begin
         KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
         if RegKeyExistsEx('HKLM', KeyName) then
          begin
           Result := Result or 4;                  
           RegKeyResetSecurityEx('HKLM', KeyName);
           RegKeyDel('HKLM', KeyName);
           if RegKeyExistsEx('HKLM', KeyName) then               
           Result := Result or 8;                  
          end;
        end;                 
      if AIsSvcHosted then
        BC_DeleteSvcReg(AServiceName)
       else
        BC_DeleteSvc(AServiceName);
      KeyList.Free;
     end;
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\reucksw.dll','');
     BC_ServiceKill('lylvjhgs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lylvjhgs\Parameters','ServiceDll');
     QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\GP2RSDIR\logo[1].gif','');
     DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\GP2RSDIR\logo[1].gif');
     DeleteFileMask('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\reucksw.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;

  6. #5
    Junior Member Репутация
    Регистрация
    30.04.2011
    Сообщений
    5
    Вес репутации
    25
    Сделано! И еще, при загрузке винды очень долго висит "приветствие" на голубом фоне которое, и выскакивает ошибка "Windows Script Host Не удается найти файл сценария «C:\Program Files\Съемный диск\usb.wsf»". В чем может быть проблема? Это появилось после этого поганого червя, который кстати уже почти сутки не беспокоит (после вчерашних манипуляций)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Съемный диск] "C:\WINDOWS\System32\wscript.exe" "C:\Program Files\Съемный диск\usb.wsf" //Job:Work
    Больше ничего плохого не видно.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    30.04.2011
    Сообщений
    5
    Вес репутации
    25
    Bratez Спасибо. Ошибка пропала.
    Еще вопрос, для саморазвития... Форматирование только диска С помогло бы с червем этим? )) Вроде слышал что эта зараза живет не только на жестком...

    Добавлено через 1 минуту

    polword спасибо огромное за исцеление!!!
    Последний раз редактировалось Денис161; 02.05.2011 в 16:20. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Денис161 Посмотреть сообщение
    слышал что эта зараза живет не только на жестком...
    Этот червь живет в сети. А ваша система перед ним беззащитна:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Срочно ставьте SP3 и последующие обновления, иначе он придет снова.

    Кроме того, он распространяется через autorun на съемных носителях. Надеюсь, хоть базы антивируса у вас обновляются? Тогда этот путь он перекроет.

    Добавлено через 52 секунды

    После установки SP3 может потребоваться повторная активация Windows.

    Добавлено через 1 минуту

    О, пардон, в последнем логе уже вижу SP3, ну тогда ладно
    Последний раз редактировалось Bratez; 02.05.2011 в 16:30. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    30.04.2011
    Сообщений
    5
    Вес репутации
    25
    Все ясно. Всем СПАСИБО

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Денис161, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. червь Win32/AutoRun.IRCBot.BJ
      От Januk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.01.2010, 02:39
    2. Замучил червь Win32/AutoRun.IRCBot.BJ
      От natali_izyum в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 07.01.2010, 00:27
    3. Проблема с AutoRun.IRCBot.Bj червь
      От Angel-Ique в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 24.12.2009, 20:41
    4. Помогите! Win32/AutoRun.IRCBot.L червь
      От sultanenok в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.10.2009, 12:41
    5. Замучал червь Win32/AutoRun.IRCBot.BJ
      От gingerboy в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 02.09.2009, 11:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00676 seconds with 16 queries