Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

BackDoor.Kais (заявка № 14204)

  1. #1
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39

    Exclamation BackDoor.Kais

    Притащил на флэшке BackDoor.Kais

    Когда открываю диски левым кликом Outpost тут же блокирует попытку закрыть себя процессом LSASS.EXE. Проверка дрвэбом показывает BackDoor.Kais Друзья сказали, что от меня пришло письмо с фотками порнухи. Друзья-то довольны, а вот я - нет.

    Что делать?

    С уважением,

    Сергеич
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Обновить версию AVZ надо. Текущая 4.27
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    regedit.exe не открывается... Не удалось, говорит, найти. Хотя вот он, в винде лежит...

    Добавлено через 41 секунду

    Цитата Сообщение от PavelA Посмотреть сообщение
    Обновить версию AVZ надо. Текущая 4.27
    Щаз сделаем.
    Последний раз редактировалось Сергеич; 16.11.2007 в 12:21. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Скачайте свежую версию AVZ - 4.27, обновите ей базы и сделайте логи заново.
    2. Поищите через AVZ: Сервис - Поиск файлов... такой файл: setuprs1.PIF.
    Пришлите его по правилам. Также интересует файл inter.exe, если не знаете что это такое, пришлите и его.

    Добавлено через 2 минуты

    Выполните в AVZ: Файл - Восстановление системы - п.9 - Выполнить. После этого попробуйте редактор реестра.
    Последний раз редактировалось Bratez; 16.11.2007 в 12:26. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    Скачал AVZ - 4.27 Жму на "стандартные скрипты" - открывается пустое окно скриптов.

    inter.exe - это служебный чат

  7. #6
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    Выполните в AVZ: Файл - Восстановление системы - п.9 - Выполнить. После этого попробуйте редактор реестра.
    Ага, заработало!

    1. Скачайте свежую версию AVZ - 4.27, обновите ей базы и сделайте логи заново.
    Сделал!

    2. Поищите через AVZ: Сервис - Поиск файлов... такой файл: setuprs1.PIF
    Не найдено.

    Куда двигаться дальше? Готов к труду и обороне!

    С уважением,

    Сергеич
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('G:\INTER\inter.exe','');     
     BC_ImportQuarantineList;
     ExecuteRepair(9);     
     BC_QrSvc('MicrosoftHelp');   
      BC_QrSvc('kkdc');
     BC_DeleteSvc('MicrosoftHelp');  
     BC_DeleteSvc('kkdc');
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  9. #8
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    Усё сделал!

    Жду дальнейших указаний!

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    G:\INTER\inter.exe - чистый ... больше ничего в карантин не попало ...
    повторите логи ....

  11. #10
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    повторите логи ....
    Готово!
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    На флэшке и логических дисках остались какие-то загадочные папки с названием runauto.. Хотел потереть - недаёт зараззза...

    И куча папок с именами от FOUND.000 до FOUND.007

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Папки FOUND.000 до FOUND.007 это от chkdsk. Можно их поудалять.
    Для борьбы с runauto.. напишу совет ниже.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Поправленное от http://zlava.livejournal.com/232202.html THK p2u за ссылку.
    Выполнять аккуратно!!!!
    1. уходим в безопасный режим.
    При помощи Far/total commander
    2. убиваем всю сволочь. то есть:
    2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…
    2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…

    3. чистим реестр (я взял утилиту RegWorks), удаляя:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
    HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
    HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
    HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List — параметр C:\WINDOWS\lsass.exe

    этта херня, прадва, удаляться не захотела:
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
    HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
    HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKD C
    HKLM\SYSTEM\ControlSet001\Services\kkdc
    HKLM\SYSTEM\ControlSet002\Services\kkdc
    HKLM\SYSTEM\ControlSet003\Services\kkdc
    HKLM\SYSTEM\CurrentControlSet\Services\kkdc

    скрипт велит удалять, но у меня такого не было:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST

    заменяем:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
    на
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).

    заодно запрещаем на будущее автозапуск всяких дисков, флешек и прочего:
    в ветке
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
    создаем два параметра:
    NoDriveTypeAutoRun, формат reg_dword, значение 000000ff (шестнадцатиричное);
    NoDriveAutoRun, формат reg_dword, значение 03ffffff (шестнадцатиричное).

    4. проверяем, ничего ли мы не забыли и у всех ли все есть, и перезагружаемся в нормальный режим.

    так-то вот. msconfig.exe у меня ожила. а cmd.exe стало иметь тот вид, который надо ей иметь (то есть вроде никто не перехватывает). с чем всех и поздравляю. надо, наверное, написать-таки BAT… на будущее… м-да…

    с перерывами угрохал часов семь. жуть какая.
    Если возникнут сложности, будем писать скрипт для удаления этой всей гадости.
    Последний раз редактировалось PavelA; 17.11.2007 в 15:33. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    2. убиваем всю сволочь. то есть:
    2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…
    Сделал.

    2. убиваем всю сволочь. то есть:
    ...
    2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…
    Я правильно понял, что эти файлы бить не надо?

    3. чистим реестр (я взял утилиту RegWorks), удаляя:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
    HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
    HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
    HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List — параметр C:\WINDOWS\lsass.exe
    Сделал.

    этта херня, прадва, удаляться не захотела:
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
    HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
    HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKD C
    HKLM\SYSTEM\ControlSet001\Services\kkdc
    HKLM\SYSTEM\ControlSet002\Services\kkdc
    HKLM\SYSTEM\ControlSet003\Services\kkdc
    HKLM\SYSTEM\CurrentControlSet\Services\kkdc

    скрипт велит удалять, но у меня такого не было:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST
    У меня тоже.

    заменяем:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
    на
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).
    Такой фигни у меня ныбыло. Параметр CheckedValue в порядке.

    Ещё что то сделать? Папка runauto.. так и не удаляется.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Сергеич Посмотреть сообщение
    Сделал.

    Я правильно понял, что эти файлы бить не надо?
    2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…
    их как раз надо убивать. Все, что найдется. С первого раза не всегда удается задавить гада до конца. Так что будь готов к повторению всех шагов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    их как раз надо убивать. Все, что найдется. С первого раза не всегда удается задавить гада до конца. Так что будь готов к повторению всех шагов.
    Искал поиском винды и AVZ. Ничего не нашёл.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Папку runauto.. откуда удалял? Она хитрая, просто из проводника удаляться не будет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    59
    Вес репутации
    39
    Да не удаляется она...

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    hiren boot Cd надо сделать. С него загрузиться и удалять эту всю гадость.
    Можно еще Bart Pe использовать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Сергеич Посмотреть сообщение
    Да не удаляется она...
    http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe

    Установить. Правой кнопкой мыши на папку щёлкать и выбрать 'Unlocker'. Потом выбрать 'Delete'.

    P.S.: Про 'CheckedValue'... Вы говорите, что 'параметр в порядке'. Как вы это определили? Я, например, не думаю, что он в порядке. Поэтому AVZ и никаких авторан не находит. Замените как указано:
    заменяем: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).
    Потом надо задать Windows, чтобы она показала все скрытие и системные файлы. Пока вы не удаляете авторан везде, где нужно - успеха не будет... Paul
    Последний раз редактировалось XP user; 20.11.2007 в 14:51.

  • Уважаемый(ая) Сергеич, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
      От dimonavia в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 11.02.2008, 12:55
    2. BackDoor.Kais
      От mace в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.10.2007, 11:48
    3. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 01:00
    4. Новый тип Backdoor - вероятно Backdoor.Delf.??
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 10.02.2005, 15:14
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00916 seconds with 17 queries