Не могу выкорчевать из системы backdoor.irc.ngrbot.42 АРМ 1
Обнаружилась на одном из двух связанных сетью компов проблема - перестала переключаться раскладка клавиатуры. При более внимательном взгляде, в системе обнаружился backdoor.irc.ngrbot.42, который в дополнение (если конечно с клавиатурой тоже он портачил) заражал флешку, скрывая на них файлы. Пару раз безуспешно попробовал прогнать CureIt, но тот ничего не нашел. Прошу помощи.
ОС Win XP. Логи прикладываю.
Последний раз редактировалось mrak74; 02.09.2015 в 10:07.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) BeGood, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\Updater.exe','');
QuarantineFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\MSupdate.exe','');
QuarantineFile('C:\Documents and Settings\пользователь37\Application Data\Microsoft\Windows\themes\Irlkls.exe','');
DeleteFile('C:\Documents and Settings\пользователь37\Application Data\Microsoft\Windows\themes\Irlkls.exe','32');
DeleteFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\MSupdate.exe','32');
DeleteFile('C:\Documents and Settings\пользователь37\Application Data\WindowsUpdate\Updater.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Irlkls');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: