Показано с 1 по 6 из 6.

Последствия W32.IRCBot (заявка № 11890)

  1. #1
    Junior Member Репутация
    Регистрация
    23.08.2007
    Сообщений
    2
    Вес репутации
    61

    Question Последствия W32.IRCBot

    Проблема: имеется машина под охраной Norton AntiVirus Corp. Edition v.10. Подозреваю, что заражение произошло через ICQ - клиент. На момент 1- го запуска компа в зараженном виде NAV Realtime Protection был убит вирусом намертво и не оживал ни под каким видом. Кое-как оживленный NAV-клиент смог сделать Full System Scan, нашел W32.IRCBoot, Hacktool.Rootkit (в файле DefLib.sys), Backdoor.Haxdoor (в файле {EA61C~1.EXE). Помимо этого при загрузке винды перед началом работы вылезает ошибка запуска cli.exe (опознан мною как файл центра управления Catalyst) и при каждом запуске Windows Explorer (explorer.exe) комп выдает ошибку доступа к памяти, которую обзывает "DAX Error". После восстановления NAV, прочесывания NAV'ом и AVZ4 в начале работы NAV Realtime Protection находит и удаляет по 2 копии Hacktool.Rootkit (в файле DefLib.sys) и Backdoor.Haxdoor (в файле {EA61C~1.EXE), выдает ошибку cli.exe и "DAX Error" при обращении к explorer.exe ("Мой компьютер, например"). Чего делать не знаю, идей никаких нет.
    Последний раз редактировалось FireKeeper; 26.08.2007 в 22:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\bhoSearchSpy.dll','');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\userinit.exe','');
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('atietaxx.dll','');
     QuarantineFile('C:\WINDOWS\system32\atietbxx.sys','');
     QuarantineFile('c:\docume~1\user1\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\user1\locals~1\temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\atietaxx.dll');
     DeleteFile('C:\WINDOWS\system32\atietbxx.sys');
     DeleteFile('C:\WINDOWS\userinit.exe');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\bhoSearchSpy.dll');
     DeleteFile('C:\WINDOWS\system32\DefLib.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11890

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O24 - Desktop Component 0: (no name) - http://www.vetton.ru/walls/animals/vetton_ru_238.jpg
    нужен ещё файл virusinfo_syscheck.zipvirusinfo_cure.zip уберите.
    и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    23.08.2007
    Сообщений
    2
    Вес репутации
    61

    Спасибо за помощь!

    Спасибо, вроде все пофиксилось, работает. Файл virus.zip отправил. Среди логов файла virusinfo_syscheck.zip нет, прикрепляю все, что есть в логах.
    Вложения Вложения
    Последний раз редактировалось FireKeeper; 31.08.2007 в 13:27.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Читать умеете? virusinfo_cure -это карантин, уберите его из темы.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    И зачем вы прикрепили старые логи?
    повторить логи,это значит сделать их снова по правилам.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\user1\\locals~1\\temp\\winlogon.exe - Trojan.Win32.Agent.asu (DrWEB: Trojan.Packed.147)
      2. c:\\windows\\system32\\atietaxx.dll - Trojan-Banker.Win32.Banker.crq (DrWEB: Trojan.PWS.Banker.10991)
      3. c:\\windows\\system32\\atietbxx.sys - Trojan-Banker.Win32.Banker.crq (DrWEB: Trojan.PWS.Banker.10991)
      4. c:\\windows\\system32\\bhosearchspy.dll - not-a-virus:AdWare.Win32.BHO.cu (DrWEB: Trojan.Searcher)
      5. c:\\windows\\system32\\svchost.exe:exe.exe:$data - Trojan.Win32.Obfuscated.gp (DrWEB: BackDoor.Bolg)
      6. c:\\windows\\userinit.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) FireKeeper, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. W32.Downadup.B и W32.IRCbot
      От Суббота в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 24.02.2010, 10:18
    2. IRCBot-DPK
      От Peshehod в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.12.2009, 14:19
    3. IRCBot ч.3
      От Ветеран рунета в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.05.2009, 22:25
    4. Statik и IRCBot ч.1
      От Ветеран рунета в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.05.2009, 12:19
    5. Торян IRCBot.se
      От Alex_3D в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01305 seconds with 20 queries