Показано с 1 по 15 из 15.

Backdoor.IRC.Mishko (DrWeb) (заявка № 12490)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40

    Thumbs up Backdoor.IRC.Mishko (DrWeb)

    Уважаемые хелперы.
    Искал в сети кейген и нашел, на свою голову, файлик, запустив который, мой DrWeb обнаружил упомянутый в теме зловред в виде файла cctw32.dll в папке windows/system32. Из автозапуска файл прибил с помощью Хайджека. Сам файл Доктор убил, но на архив со зловредом молчит, в то время как на Вирустотал этот архив определяетсякак зловред 22 из 32 антивирусов.
    Пожалуйста, посмотрите - не пришел ли ко мне на комп кроме Мишки ещё какой-нить Гришка.)))))
    Большое спасибо заранее.
    Последний раз редактировалось Лангольер; 03.09.2008 в 12:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKCU\..\Run: [Klass] C:\WINDOWS\svchost.exe
    2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\osa9.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    3. архив со зловредом запаковать в zip с паролем virus и по ссылке в шапке . карантин avz тоже загрузить.

  4. #3
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    Закачан карантин АВЗ
    Результат загрузки
    Файл сохранён как 070915_120451_virus_46ec10b326697.zip
    Размер файла 79849
    MD5 dd9f026774578a721d5e3985279552bb

    Файл закачан, спасибо!

    Закачан зловред
    Результат загрузки
    Файл сохранён как 070915_120737_еее_46ec115989f2e.zip
    Размер файла 173610
    MD5 9972978d1a439c2bf392fb74b56f7c48

    Файл закачан, спасибо!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Backdoor.Win32.VB.bdr
    Backdoor.Win32.Agent.aou
    Trojan-Downloader.Win32.VB.asz

    (kaspersky)

    Сделайте новые логи, посмотрим состояние пациента

  6. #5
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    Мда, Мишка, оказывается, не один пришел.
    Дронго, спасибо.
    будем убивать осу? я так понял оса - агент?

    Добавлено через 43 секунды

    Делаю логи.
    Последний раз редактировалось Лангольер; 15.09.2007 в 20:18. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Цитата Сообщение от Лангольер Посмотреть сообщение
    оса
    - троянская программа Backdoor.Win32.Agent.aou
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\osa9.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    новые логи конечно после удаления гадости

  8. #7
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    Скрипт выполнен.
    Логи.
    Последний раз редактировалось Лангольер; 03.09.2008 в 12:13.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Пофиксите с помощью Hijackthis строчку:
    Код:
    O4 - HKLM\..\Run: [Office SturtUp] osa9.exe
    И повторите логи, начиная с п. 10 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    Логи
    Последний раз редактировалось Лангольер; 03.09.2008 в 12:13.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    Выполнить в AVZ скрипт:
    Код:
    begin
     // Очистка файла Hosts
     ClearHostsFile;
    end.
    Опыт — это слово, которым люди называют свои ошибки.

  12. #11
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    Скрипт выполнен без ошибок

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Что из этого используется ?
    Код:
    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  14. #13
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    С удовольствием пооттключаю всё.
    Буду благодарен за скрипт.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Лангольер,
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    P.S.По секрету всему свету скажу: скрипт уже готов в самом логе авз , который предоставили - просто нажать нужно

  16. #15
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    @Drongo.
    Точно)
    Скрипт выполнен без ошибок.
    Анализы пациенту ещё раз сдать?

  • Уважаемый(ая) Лангольер, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 19.08.2011, 14:34
    2. DrWeb CureIt - backdoor.bulknet.507
      От s76 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.09.2010, 20:29
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 08:12
    4. BackDoor.Monsh (Drweb)
      От stopka2top в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 21.09.2007, 13:32
    5. Microsoft WMSRT - Backdoor:Win32/Hackdef.L в spiderml.exe от DrWeb
      От MOCT в разделе Ложные срабатывания
      Ответов: 1
      Последнее сообщение: 20.11.2006, 06:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00080 seconds with 16 queries