Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Backdoor.Win32.IRCBot.wt (заявка № 10451)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39

    Thumbs up Backdoor.Win32.IRCBot.wt

    Я никогда раньше с вирусами не боролся, если возникали проблемы просто пнреустанавливал Винду, но так случилось что сейчас этого делать нельзя.
    Этого зверя я высветил KAV 6.0, Web его не видит, при этом находит его два раза и постоянно висит два таких процеса: mswsgs.exe
    Каспер говорит что для удаления вируса нужно перезагрузить компьютер, но после перезагрузки вирус появляется снова.
    Создать заявку согласно правил не получилось, при обновлении баз AVZ выскакивает следующее:
    "Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновления avzupd.zip c http//z-oleg.com/secur/avz_up/[21,00000002]"
    Помогите пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    http://virusinfo.info/showthread.php?t=1235
    http://z-oleg.com/avz4.zip
    http://z-oleg.com/secur/avz_up/avzbase.zip - скачайте вручную архив с обновлениями и распакуйте в нужное место .

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Наконецто закончил диагностику (правда у меня вызывает сомнение лог от HIJACK, но ничего другого не сохранилось)

    Вместо virusinfo_cure.zip должен быть virusinfo_syscheck.zip.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,203
    Вес репутации
    3385
    Зловред видимо есть ... выполните скрипт AVZ и пришлите попавшие в карантин файл согласно правилам:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\hggdbcb.dll','');
     QuarantineFile('C:\WINDOWS\System32\mljgd.dll','');
     QuarantineFile('C:\WINDOWS\System32\vlufhoiv.dll','');
     QuarantineFile('sfvfs02.sys','');
     QuarantineFile('snapman.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\System32\mswsgs.exe','');
     QuarantineFile('c:\windows\system32\mswsgs.exe','');
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Может дело в кривизне моих рук или я неправильно понял инструкцию " во время лечения" но в карантине ничего нет и в папке лог только это. (проверял раз 5, при этом комп регулярно вис)
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Мне кажется дошло что нужно было сделать... (лучше позно чем никогда)
    Последний раз редактировалось Зайцев Олег; 17.06.2007 в 15:20. Причина: Запрещается присоединять файлы карантина к теме

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    @Demien
    Читаем вместе п.10:
    10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
    Мне кажется дошло что нужно было сделать..
    Нет. Вирус надо не подвешивать к теме, а закачать тут.
    FYI: с такой системой
    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Вам придётся абонировать в форуме выделенный канал для постоянных клиентов

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,203
    Вес репутации
    3385
    Файл c:\windows\system32\mswsgs.exe - это троян, его следует удалить отложенным удлением AVZ или, что лучше, выполнить скрипт:
    Код:
    begin
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\mswsgs.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Цитата Сообщение от Rene-gad
    @Demien
    Читаем вместе п.10:
    10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
    по этой схеме я сканировал машину раз 7 минимум, все что было в папке LOG я прислал, возможно дело в том что програма не захотела обновляться автоматически и мне пришлось делать это в ручную....

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Зайцев Олег, огромное вам спасибо! Я наконецто избавился от этой заразы (если верить касперу)

    Но похоже это не все, в процессах появился какойто a.exe
    и машина продолжает переодически виснуть...

    И еще вопрос: как быть с обновлением системы которое я отключил в процесе диагностики?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,203
    Вес репутации
    3385
    Цитата Сообщение от Demien Посмотреть сообщение
    Зайцев Олег, огромное вам спасибо! Я наконецто избавился от этой заразы (если верить касперу)

    Но похоже это не все, в процессах появился какойто a.exe
    и машина продолжает переодически виснуть...

    И еще вопрос: как быть с обновлением системы которое я отключил в процесе диагностики?
    О каком обновлении системы идет речь ? В правилах говорится об отключении восстановления системы, а не обновления. Нужны новые логи чтобы установить, что за новый процесс и откуда он взялся ... Firewall на компьютере установлен и настроен ? Если нет, то процесс лечения будет бесконечным ...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Перед созданием новых логов пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\vlufhoiv.dll (file missing)
    O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O2 - BHO: (no name) - {CBBD4BC0-2668-4DF5-AA21-6C14F7554225} - C:\WINDOWS\System32\mljgd.dll (file missing)
    O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\hggdbcb.dll (file missing)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O20 - Winlogon Notify: hggdbcb - C:\WINDOWS\
    O20 - Winlogon Notify: mljgd - C:\WINDOWS\
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Прошу прощения, я ошибся. Я действительно имел ввиду восстановление системы.

    На компе установлен KAV 6.0 (демо версия).... достаточно этого или нет я не знаю... буду признателен за консультацию по этому вопросу

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    На компе установлен KAV 6.0 (демо версия).... достаточно этого или нет я не знаю
    Нет. Нужно ставить сторонний файрвол.

  16. #15
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Цитата Сообщение от MaXim Посмотреть сообщение
    Нет. Нужно ставить сторонний файрвол.
    например?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Отвечу ссылкой http://virusinfo.info/forumdisplay.php?f=40

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Фаервол - это хорошо, но, как уже заметил коллега Rene-gad, первым и главным мероприятием для укрепления безопасности должна быть установка SP2 и последующих обновлений Windows, иначе и фаервол может не помочь. Но прежде надо закончить лечение. Ждем логи.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Перед созданием новых логов пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\vlufhoiv.dll (file missing)
    O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O2 - BHO: (no name) - {CBBD4BC0-2668-4DF5-AA21-6C14F7554225} - C:\WINDOWS\System32\mljgd.dll (file missing)
    O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\hggdbcb.dll (file missing)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll (file missing)
    O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O20 - Winlogon Notify: hggdbcb - C:\WINDOWS\
    O20 - Winlogon Notify: mljgd - C:\WINDOWS\
    гм... я сегодня в первый раз увидел HIJACK, не могли бы вы по подробней обьяснить куда именно прописать этот скрипт и как это сделать.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Как нынче модно говорить, фтыкать тут:
    Что значит "пофиксить с помощью HijackThis"?
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    17.06.2007
    Сообщений
    12
    Вес репутации
    39
    пофиксил все кроме этих строк:
    O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
    O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe

    их просто небыло в списке

    а что касается Firewall, то ставить я его начну сегодня же. как только определюсь какой

  • Уважаемый(ая) Demien, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Backdoor.Win32.IRCBot.mle
      От wanderer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.10.2009, 21:09
    2. Backdoor.Win32.IRCBot.lmf
      От dolphin_al в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.10.2009, 13:56
    3. Backdoor.Win32.IRCBot.lha
      От Reanimator177 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 12:14
    4. Backdoor.Win32.IRCBot
      От Johnick в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:40
    5. Backdoor.Win32.IRCBot.csk
      От LomasterPAS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 13:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00541 seconds with 17 queries