Показано с 1 по 19 из 19.

Win32/AutoRun.IRCBot.BJ worm (заявка № 53472)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31

    Thumbs up Win32/AutoRun.IRCBot.BJ worm

    Ребята помогите пожалуйста !
    Знаю тема похожая есть я ее перечитал и кое что сделал но вот моя проблема сидел я себе спокойно в инете когда выдало ошыбку usbmanager.exe s4chost.exe так вроде . Ну и самое главное это то что NOD пишет о заразе файла Win32/AutoRun.IRCBot.BJ worm а теперь он мне еще й пишет Win32/Agent.PQG trojan !!
    Проблема осложняэтся еще и тем что у меня МТС -Коннект то с этими ошибками он работает минимум пару минут потом приходится перезапускать !
    Могу вложить файлы avz лог которые я сделал по инструкции

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Не "могу", а нужно. Три лога по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Вообщем это все файлы!
    Теперь svchost.exe вообще не дает мне залесть в инет так что скопировал файлы на ноут и выложил .
    Я надеюсь что мне кто-нибудь поможет!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\w_w45B.tmp','');
     QuarantineFile('C:\WINDOWS\usbmngr.exe','');
     QuarantineFile('C:\WINDOWS\usb_drv.exe','');
     QuarantineFile('C:\WINDOWS\system32\umb_eut.dll','');
     QuarantineFile('C:\WINDOWS\runservice.exe','');
     QuarantineFile('C:\WINDOWS\new4.exe','');
     QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
     DeleteFile('C:\WINDOWS\mslsrv32.exe');
     DeleteFile('C:\WINDOWS\new4.exe');
     DeleteFile('C:\WINDOWS\runservice.exe');
     DeleteFile('C:\WINDOWS\usb_drv.exe');
     DeleteFile('C:\WINDOWS\usbmngr.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\w_w45B.tmp');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\5IKTZSBD\lse[1].exe');
     DeleteFile('C:\WINDOWS\system32\00.scr');
     DeleteFile('C:\WINDOWS\system32\45.scr');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=53472).
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Вот новые файлы
    Замечу что после ввода скрипта при загрузке не появлялось сообшения от NOD об этом worm но стоило залесть в инет на 3 минуты и опять появилось это сообщение.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20583)
    Система дырявая, поэтому и лезут.
    Ставьте SP3 + последующие обновления.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Ну я так думаю что одними обновлениями вирус не уйдет.Может я ошибаюсь?
    Тогда логично что перед установкой SP3 следует ввести похожий скрипт в azv, что-бы он убрал зараженные файлы. Или не так?)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ну я так думаю что одними обновлениями вирус не уйдет.
    Вирусы были удалены скриптом, а теперь они снова лезут к вам из сети через дыры в системе. Нод (слава богу) их отсекает. Ставьте обновления как можно скорее, чтобы перекрыть эти дыры!
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Так в том то и дело что после последнего поключения к инету при загрузке машины Нод опять выдает такое сообщение . Поетому наверное стоит еще раз ввести скрипт а потом без выхода в инет ставить SP3. Файлы ведь уже опять инфецированы получается?)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В правильном направлении думаете.

  12. #11
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Понял. Спасибо вам pig и вам Bratez. Если все будет окей отпишусь))

  13. #12
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Значит Пак поставил обновление тоже поставил, но проблема не решена всё по прежнему выдает Win32/AutoRun.IRCBot.BJ worm
    Более того при сканировании системы avz Нод выдавал похожие сообщения только в других папках ну там из папки Local Settings и тд
    Вообщем вот файлы .
    Может нужно загрузить файлы virusinfo_cure.zip
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\tempfile36640.exe','');
    DeleteFile('C:\WINDOWS\Temp\tempfile36640.exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile81443.exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile81443.exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile74857.exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile74857.exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile70542.exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile70542.exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile55467.exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile55467.exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile31622.exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tempfile31622.exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\NHG6UQQQ\ms14[1].exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\NHG6UQQQ\ms14[1].exe');
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GP1T2AGI\ms14[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GP1T2AGI\ms14[1].exe');
     TerminateProcessByName('c:\windows\usb_magr.exe');
     QuarantineFile('c:\windows\usb_magr.exe','');
     DeleteFile('c:\windows\usb_magr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
    DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
    DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp', '*.*', true);
    
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Вот файлы пока все нормально при загрузке буду надеятся что так и будет)
    Вложения Вложения

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Пофиксить в HiJack
    Код:
    O4 - HKLM\..\Run: [Windows USB Serivce] usbmngr.exe
    O4 - HKLM\..\Run: [Universal  Bus device] usb_drv.exe
    O4 - HKLM\..\Run: [Windows Data Serivce] new4.exe
    Перезагрузиться

    Сделать новый лог HiJack
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Вот сделал . Какой вердикт?)
    Вложения Вложения

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Ничего плохого
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    02.09.2009
    Сообщений
    10
    Вес репутации
    31
    Вроде всё работает нормально .
    Огромное спасибо thyrex
    Я никогда не отказую в просьбах если меня о чем-то просят, поэтому ценю то что вы уделили время для моей проблемы.
    Еще раз низкий вам поклон ребята .

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\5iktzsbd\lse[1].exe - Backdoor.Win32.SdBot.osl ( DrWEB: BackDoor.IRC.Sdbot.5190, AVAST4: Win32:Trojan-gen {Other} )
      2. c:\windows\mslsrv32.exe - Backdoor.Win32.SdBot.osl ( DrWEB: BackDoor.IRC.Sdbot.5190, AVAST4: Win32:Trojan-gen {Other} )
      3. c:\windows\new4.exe - Trojan.Win32.Buzus.bxnq ( DrWEB: BackDoor.IRC.Sdbot.5190, AVAST4: Win32:Trojan-gen {Other} )
      4. c:\windows\system32\00.scr - Backdoor.Win32.SdBot.osl ( DrWEB: BackDoor.IRC.Sdbot.5190, AVAST4: Win32:Trojan-gen {Other} )
      5. c:\windows\system32\45.scr - Backdoor.Win32.SdBot.osl ( DrWEB: BackDoor.IRC.Sdbot.5190, AVAST4: Win32:Trojan-gen {Other} )
      6. c:\windows\usb_drv.exe - Net-Worm.Win32.Kolab.dtc ( DrWEB: BackDoor.IRC.Sdbot.5269, AVAST4: Win32:Rootkit-gen [Rtk] )
      7. c:\windows\usb_magr.exe - Net-Worm.Win32.Kolab.dqn ( DrWEB: BackDoor.IRC.Sdbot.5226, BitDefender: Backdoor.Bot.105130 )
      8. c:\windows\usbmngr.exe - Net-Worm.Win32.Kolab.dpt ( DrWEB: Trojan.DownLoad.45172, BitDefender: Trojan.Generic.2348950, AVAST4: Win32:Trojan-gen {Other} )


  • Уважаемый(ая) Leo Kravchuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/AutoRun.IRCBot.II
      От hager.dnepr в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.10.2011, 16:28
    2. червь Win32/AutoRun.IRCBot.BJ
      От Januk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.01.2010, 02:39
    3. Замучил червь Win32/AutoRun.IRCBot.BJ
      От natali_izyum в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 07.01.2010, 00:27
    4. И снова Win32/AutoRun.IRCBot.BJ
      От ZmeyPDL в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.12.2009, 15:25
    5. Замучал червь Win32/AutoRun.IRCBot.BJ
      От gingerboy в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 02.09.2009, 11:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00946 seconds with 17 queries