Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 1

**BeGood** · 02.09.2015, 09:36

Обнаружилась на одном из двух связанных сетью компов проблема - перестала переключаться раскладка клавиатуры. При более внимательном взгляде, в системе обнаружился backdoor.irc.ngrbot.42, который в дополнение (если конечно с клавиатурой тоже он портачил) заражал флешку, скрывая на них файлы. Пару раз безуспешно попробовал прогнать CureIt, но тот ничего не нашел. Прошу помощи.

ОС Win XP. Логи прикладываю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.09.2015, 09:37

Уважаемый(ая) BeGood, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 02.09.2015, 10:12

Здравствуйте !!!

Пофиксите в HijackThis:

Код:

O4 - HKCU\..\Run: [Windows Update Installer] C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\Updater.exe
O4 - HKCU\..\Run: [Irlkls] C:\Documents and Settings\пользователь37\Application Data\Microsoft\Windows\themes\Irlkls.exe
O4 - HKCU\..\Run: [Windows Update Manager] C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\MSupdate.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\Updater.exe','');
  QuarantineFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\MSupdate.exe','');
  QuarantineFile('C:\Documents and Settings\пользователь37\Application Data\Microsoft\Windows\themes\Irlkls.exe','');
  DeleteFile('C:\Documents and Settings\пользователь37\Application Data\Microsoft\Windows\themes\Irlkls.exe','32');
  DeleteFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\MSupdate.exe','32');
  DeleteFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\Updater.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Irlkls');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**BeGood** · 03.09.2015, 02:40

Извиняюсь за проявленную невежливость..

Здравствуйте!

Спасибо за скрипты, скачал, выполнил. Выкладываю логи.

**mrak74** · 03.09.2015, 09:37

отключите антивирусную программу

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
  DeleteFile('C:\Documents and Settings\пользователь37\Application Data\Microsoft\Windows\themes\Irlkls.exe','32');
  DeleteFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\Updater.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Irlkls');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**BeGood** · 04.09.2015, 01:40

Выполнил скрипты в безопасном режиме с выключенным ав.
Прикладываю логи.

**mrak74** · 04.09.2015, 08:50

Аналогично с предыдущей темой, чистка ccleaner-ом и новые логи из обычного режима. Жду.

**BeGood** · 07.09.2015, 01:11

Почистился Клинером, сделал логи в обычном режиме.
Прикладываю.

**mrak74** · 07.09.2015, 08:31

C:\Program Files\PROWiSe\PROWiSe.exe

Аналогично, сами ставили ? Что с проблемой ?

**BeGood** · 08.09.2015, 00:13

Проблема улетучилась после первых скриптов. Без понятия, что это. Подозреваю, что могло входить в комплект WinXP, там кастомная сборка.

**mrak74** · 08.09.2015, 09:46

Советы и рекомендации после лечения компьютера

**CyberHelper** · 08.09.2015, 09:56

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения вредоносные программы в карантинах не обнаружены

Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 1 (заявка № 189383)

Опции темы

Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 1

Это понравилось:

Итог лечения

Похожие темы

BackDoor.IRC.NgrBot.42 не выводится( [Backdoor.Win32.Inject.wps ]

backdoor.irc.ngrbot.42

Тормозит нетбук. Файлы на флешках превратились в ярылки .lnk [Worm.Win32.Ngrbot.vwr, Worm.Win32.Ngrbot.vwh, Backdoor.Win32.Azbreg.xhh ]

Выкорчевать Trojan-Spy.Win32Zbot.wsu или BackDoor.Posion.767

Помогите выкорчевать эту дрянь

Ваши права в разделе