Показано с 1 по 9 из 9.

Подозрение на backdoor irc bot 4560 (заявка № 221134)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2013
    Сообщений
    7
    Вес репутации
    39

    Thumbs up Подозрение на backdoor irc bot 4560

    Здравствуйте.

    На почту пришло письмо с темой, в которой был указан один из моих паролей. В тексте письма ( в общих чертах) у меня стоит backdoor, поэтому пароли менять бесполезно - надо прислать 700 баксов.
    Открыв в тот же день диспетчер задач, обнаружил странный буквенно-цифровой exe файл, который никак не хотел убиваться из процессов, да и папка где он находился ( был в Temp'e со своей такой же папкой) не удалялась в принципе. (сижу под админом)
    Постоянного антивируса нет, скачал Сure It и он нашёл вирус, который я указал в теме письма, но в exe-шнике вообще на другом диске. Так ничего и не поняв, доделал сканирование, удалил данный файл с компа, и, странное дело, - уж сразу, не сразу, но процесс из диспетчера задач исчез и папку из Temp удалить получилось. Никаких перезагрузок не делал, unlocker'ом не пользовался - да он и не помогал.
    Решил на всякий случай, для очистки совести, кинуть вам логи - может глянете опытным взглядом, увидите чего...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) co1d, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Это популярная разводка, рассылают письма с утёкшими паролями из доступных баз, если человеку присылают пароль, который он использует или когда-то использовал, то он, как правило, напрягается. Нет у вас бэкдора.
    Смените все пароли на нетривиальные, не используйте один и тот же на разных ресурсах.

    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    O4 - MSConfig\startupreg: VKSaver [command] = C:\ProgramData\VKSaver\VKSaver.exe (HKLM) (2016/09/14) (file missing)
    O4 - MSConfig\startupreg: icq [command] = C:\Users\co1d\AppData\Roaming\ICQM\icq.exe -CU (HKCU) (2015/08/22) (file missing)
    O22 - Task: WdfHG - C:\Users\co1d\AppData\Local\Temp\start.exe iunpack (file missing)
    Удалите бесполезный SpyHunter 5.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    08.09.2013
    Сообщений
    7
    Вес репутации
    39
    SpyHunter где то на сайте посоветовали) - удалил
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Запустите повторно Malwarebytes AdwCleaner Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминаются acestream, PokerStars.
    Установите в пункте меню по окончании сканирования установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies".
    Затем нажмите Очистить (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

    Устанавливайте:
    ------------------------------- [ HotFix ] --------------------------------
    HotFix KB3115858 Внимание! Скачать обновления
    HotFix KB3140735 Внимание! Скачать обновления
    HotFix KB3138910 Внимание! Скачать обновления
    HotFix KB3138962 Внимание! Скачать обновления
    HotFix KB3145739 Внимание! Скачать обновления
    HotFix KB3146963 Внимание! Скачать обновления
    HotFix KB3156013 Внимание! Скачать обновления
    HotFix KB3156016 Внимание! Скачать обновления
    HotFix KB3156019 Внимание! Скачать обновления
    HotFix KB3155178 Внимание! Скачать обновления
    HotFix KB3153171 Внимание! Скачать обновления
    HotFix KB3170455 Внимание! Скачать обновления
    HotFix KB3178034 Внимание! Скачать обновления
    HotFix KB3185911 Внимание! Скачать обновления
    HotFix KB3184122 Внимание! Скачать обновления
    HotFix KB3192391 Внимание! Скачать обновления
    HotFix KB3197867 Внимание! Скачать обновления
    HotFix KB3205394 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4019263 Внимание! Скачать обновления
    HotFix KB4022722 Внимание! Скачать обновления
    HotFix KB4015546 Внимание! Скачать обновления
    HotFix KB4025337 Внимание! Скачать обновления
    HotFix KB4034679 Внимание! Скачать обновления
    HotFix KB4041678 Внимание! Скачать обновления
    Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

    Установите Internet Explorer 11, даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

    Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
    Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
    Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
    Автоматическое обновление отключено (-1)
    Windows Defender (включен и устарел)
    "Защитник не обновляется вместе с системой, антивируса, считай нет.
    Adobe Shockwave Player 12.2 v.12.2.5.195 Внимание! Скачать обновления
    Opera Stable 56.0.3051.116 v.56.0.3051.116
    Обновите до актуальных версий.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    08.09.2013
    Сообщений
    7
    Вес репутации
    39
    Поставил все фиксы, кроме KB3140735, т.к. не нашёл под 64-битную систему.
    Автоматическое обновление отключал сознательно, т.к., по моему мнению, "одно лечит, другое калечит" (как там было..."124 дырки в коде,124 дырки в коде, вышло обновление...126 дырок в коде). Возможно,я не прав, но хотелось бы контролировать данный процесс, а не ставить все обновления подряд. Вы мне скинули 25 файлов, а Винда за пару лет обновится раза в два больше.
    IE 11 поставил, Оперу обновил, Java снёс.
    Поставил Shockwave 12.3, теперь в списках висят обе версии 12.2 и 12.3 (я думал, что старая версия заменится) 12.2 сносить?
    Defender тоже проверил, он себя обновил.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от co1d Посмотреть сообщение
    Поставил Shockwave 12.3, теперь в списках висят обе версии 12.2 и 12.3 (я думал, что старая версия заменится) 12.2 сносить?
    Не надо.
    Всё на этом.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    08.09.2013
    Сообщений
    7
    Вес репутации
    39
    Спасибо большое.
    Единственное,если не сложно, может подсказать, как можно убить Яндекс директ? Один раз как то у меня получилось его убить, так он опять вылез...Или это уже не в вашей компетенции? Можно в личку...Если нет, то тему можно закрывать.
    В любом случае - спасибо

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Его заблокировать навсегда практически невозможно, постоянно подстравать фильтры блокировщиков придётся.

  • Уважаемый(ая) co1d, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.IRC.Bot.166
      От Рустам :о в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.07.2012, 20:06
    2. Ответов: 8
      Последнее сообщение: 02.09.2011, 16:36
    3. BackDoor.IRC.Bot.166
      От frisket в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 14.12.2009, 17:59
    4. Backdoor.IRC.Bot.143
      От igor2009 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.10.2009, 19:14
    5. инфицирован BackDoor.IRC.Bot.132
      От Len_bars в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.09.2009, 21:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00005 seconds with 18 queries