Показано с 1 по 10 из 10.

мой комп часть БотНет? (заявка № 28285)

  1. #1
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    10
    Вес репутации
    35

    мой комп часть БотНет?

    Есть большое подозрение на вирусы, да не только подозрение, но и доказательсво
    если не запрещать (фаерволом. стоит Outpost 4.0.1025) процессу svchost 80 и 25 потры - то он начинает ддосить сайты или слать спам (я так подозреваю. судя по количеству обращейний к сайтам и активности на 25 порту).

    подозреваю что комп часть ботнета. делал полное сканирование, но ничего не находил:
    DrWeb - CureIT!
    утилиткой от Касперского.
    ставил BitDefinder (но на уже разаженный правда комп).
    постоянно стоит Nod32. на время установки BitDef. удалял его (чтобы не возникало лишних вопросов). обновление каждый час.

    hijackthis поругался на файл chtbrkr32.dll
    вот что сказала проверка его в VirusTotals: 14/36

    но нашел так же этоя в замешательстве.

    PS: virusinfo_syscure.zip не создался. есть только virusinfo_cure.zip - 8 Мег.

    PPS: Project1.exe - програмка просто считает сумму цифр из лога.
    Вложения Вложения
    Последний раз редактировалось Deez; 18.08.2008 в 09:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    http://virusinfo.info/upload_virus.php?tid=28285- у нас карантин и подозрительные файлы грузят по правилам или вообще никак

    Добавлено через 11 минут
    Выполнить скрипт @ avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('c:\windows\system32\r_server.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\chtbrkr32.dll','');
     QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
     QuarantineFile('C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe','');
     QuarantineFile('C:\Documents and Settings\1\Рабочий стол\PORTMSYS.SYS','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys','');
     QuarantineFile('C:\WINDOWS\system32\appsec.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать запрошенный карантин- > http://virusinfo.info/upload_virus.php?tid=28285

    P.S. virusinfo_syscure.zip не создался из-за вашего оутпоста- они не дружат
    Последний раз редактировалось drongo; 18.08.2008 в 09:39. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    10
    Вес репутации
    35
    Хочется сказать что я не хочу просто убить все подозрительное.
    про то что у меня есть программы, распознаваемые антивирусниками "Возможно вирус" я знаю. половина утилит от nirsoft.net и systernals парочка считаются подозрительными. но они очень в работе помагают и хочется их оставить.


    'c:\windows\system32\r_server.exe'
    радмин мне нужен. я знаю что это.

    'C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe'
    это мне нужно. я знабю что это. скачано с оф сайта.

    'c:\windows\system32\drivers\iqvw32.sys' VirusTotal
    Код:
    NALIntel(R) Network Adapter Diagnostic Driver	Intel Corporation
    'C:\WINDOWS\system32\Drivers\DgiVecp.sys' VirusTotal
    Код:
    DgiVecp C:\WINDOWS\system32\Drivers\DgiVecp.sys   автоматически Windows 2k,XP IEEE-1284 parallel class driver for ECP, Byte, and Nibble modes   1.1.2.40   Samsung Electronics Co., Ltd.   Samsung Electronics Co., Ltd. VECP for Windows 2000, XP
    точно? есть смутное подозрение что это драйвера. мне хочется сохранить работоспособность.


    'C:\Documents and Settings\1\Рабочий стол\PORTMSYS.SYS'
    ок. файла давно нет.

    'C:\WINDOWS\system32\appsec.dll'
    не нашел вообще упоминаний о нем. нигде ни autoruns от Systernals, ни ServWwin,ShelExView,ShelMenuView,RegDllView от Nirsoft.net.
    processmon висит уже час тоже ниодного упоминания.
    VirusTotal молчит

    'C:\WINDOWS\SYSTEM32\chtbrkr32.dll'
    вообще в офисе установлена потдержка универсального шрифта. тоесть библиотекой для китайского то оно может быть (ссылку я выше кинул). но почему 14/36 висуом ее посчитали?

    'C:\WINDOWS\system32\CTFMON.EXE'
    это что от мелкомягких. давно удалил (не понравилось что висит всегда. не восстанровилось. стало быть было правда "Альтернативный ввод данных"

    Добавлено через 8 минут

    Цитата Сообщение от drongo Посмотреть сообщение
    http://virusinfo.info/upload_virus.php?tid=28285- у нас карантин и подозрительные файлы грузят по правилам или вообще никак

    Добавлено через 11 минут
    Выполнить скрипт @ avz

    Прислать запрошенный карантин- > http://virusinfo.info/upload_virus.php?tid=28285
    вот тут по моему тупанул и прислал старый файл *8 метровый а не тот что должен был создать этот скрипт (как я полагаю). скрипт закончился с ошибкой: Failed to set data for "DisplayName"

    то что было в окне AVZ в приложении.
    что то не прикрепляется

    сейчас вручную файлы эти достану и вышлю. файл virusinfo.info.zip пароль virusinfo.info
    Последний раз редактировалось Deez; 18.08.2008 в 11:01. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Deez Посмотреть сообщение
    Хочется сказать что я не хочу просто убить все подозрительное.
    А мы еще ничегошеньки не пытались убивать: Выполните скрипт и закачайте карантин - больше от Вас ничего не требуется.
    Ну и немного терпения пока ответ из Вирлаба получим.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    лучше не надо:или по правилам или никак.



    не мудрите с паролем- пароль ставиться автоматом с AVZ- никто не собирается другой пароль подбирать, иначе ответ будет от лаба - "пароль не подходит "

    данный скрипт ничего не меняет в системе- только копирует файлы, и если файлов нет говорит об этом
    Последний раз редактировалось drongo; 18.08.2008 в 11:29. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    10
    Вес репутации
    35
    А мы еще ничегошеньки не пытались убивать: Выполните скрипт и закачайте карантин - больше от Вас ничего не требуется.
    Ну и немного терпения пока ответ из Вирлаба получим.
    вот в этом и пробелма ) он не выполняется ))) Failed to set data for "DisplayName"

    Цитата Сообщение от drongo Посмотреть сообщение
    лучше не надо:или по правилам или никак.
    Добавлено через 2 минуты

    не мудрите с паролем- пароль ставиться автоматом с AVZ- никто не собирается другой пароль подбирать, иначе ответ будет от лаба - "пароль не подходит "
    как я сказал выше - AVZ завершился с ошибкой. никакого архива не создав. я руками (ну почти руками. bat файлом ) эти файлы собирал, и архивировал. скажите какой должен быть пароль я переархивирую.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    вероятно из-за outpost такая проблема...
    архив только zip
    пароль: virus

  9. #8
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    10
    Вес репутации
    35
    Цитата Сообщение от drongo Посмотреть сообщение
    вероятно из-за outpost такая проблема...
    архив только zip
    пароль: virus
    перед запуском скрипта выгружать все драйвера outpost?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Попробуйте выгрузить. Может, даже деинсталлировать его навовсе.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. \\chtbrkr32.dll - Trojan.Win32.Agent.ajhh
      2. \\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.21 (DrWEB: Program.RemoteAdmin)


  • Уважаемый(ая) Deez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ботнет
      От adigyran в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.01.2012, 19:27
    2. Комп Бухгалтера. Часть 3
      От zarin13 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.10.2011, 15:26
    3. Попался в ботнет
      От reav123 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.12.2010, 11:18
    4. File Downloader часть удалена часть осталась.
      От йфяцыч в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 24.12.2009, 23:33
    5. Ответов: 7
      Последнее сообщение: 02.02.2009, 02:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01552 seconds with 17 queries