Показано с 1 по 10 из 10.

BackDoor.IRC.Bot.166 (заявка № 63459)

  1. #1
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    5
    Вес репутации
    30

    Question BackDoor.IRC.Bot.166

    Здравствуйте!
    С недавнего времени начали появляться exe файлы в system32 с двумя цифрами в имени(24, 01, 86 и т.п.) Начал пропадать звук в видео(сис. звуки и музыка есть), панели окон и трей меняются со стиля windows XP на Классический стиль.
    Загружались в безопасном режиме, сканировали(сис. папки) CureIt'ом, находил эти exe и удалял, но они появлялись снова. Загружались с LiveCD, сканировали(опять же только сис. папки) всё так же находил и удалял. Проблема не решилась, PC Tools Firewall Plus перехватывал эти экзешники. Даже загружались через убунту, проверяли dr. Web'ом папки win, все эти вирусы распознает как BackDoor.IRC.Bot.166. Что делать уже не знаем, решили обратиться к вам. Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    328
    1) Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     DeleteService('GarenaPEngine');
     QuarantineFile('C:\Мои документы\-\ВСЯКОЕ\2003\Б\Бакшанадева\Бакшандаева.rar','');
     QuarantineFile('C:\Documents and Settings\faint\Мои документы\МИФИ\Delphi 6\Задание 4\Задача 1 (светофор)\Project1.exe','');
     QuarantineFile('G:\Downloads\Torrent\l2c6\lineage2c6\system\npkcrypt.sys','');
     QuarantineFile('J:\distr\Пароли\Multi Password Recovery\mpr_freader.sys','');
     QuarantineFile('C:\WINDOWS.0\system\sservice.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\fservice.exe','');
     QuarantineFile('C:\WINDOWS.0\TEMP\LQZ3C66.tmp','');
     QuarantineFile('C:\WINDOWS.0\system32\drivers\BSzBT.exe','');
     DeleteFile('C:\WINDOWS.0\system\sservice.exe');
     DeleteFile('C:\WINDOWS.0\system32\fservice.exe');
     DeleteFile('C:\WINDOWS.0\TEMP\LQZ3C66.tmp');
     DeleteFile('C:\WINDOWS.0\system32\drivers\BSzBT.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DelCLSID('{5Y99AE78-58TT-11dW-BE53-Y67078979Y}');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(16);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    2) Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
    3) Сделайте новый лог virusinfo_syscheck.zip + такой лог: http://virusinfo.info/showthread.php?t=53070


    Remote Administrator Service (C:\WINDOWS.0\system32\r_server.exe) - сами ставили?
    GHETTO/STREET WORKOUT

  4. #3
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    5
    Вес репутации
    30
    Вот логи. Radmin сам ставил.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Карантин загрузите по правилам !

  6. #5
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    328
    + snifer67
    Удалите в mbam:
    Код:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{5y99ae78-58tt-11dw-be53-y67078979y} (Backdoor.ProRat) -> No action taken.
    
    Заражено папок:
    C:\Documents and Settings\faint\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
    
    Заражено файлов:
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GSNVE3H4\61[2].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\faint\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\Documents and Settings\faint\delself.bat (Malware.Trace) -> No action taken.
    C:\WINDOWS.0\system32\41.exe (Trojan.FakeAlert) -> No action taken.
    Сделайте новый лог mbam.

    Карантин обязательно загрузите:
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
    GHETTO/STREET WORKOUT

  7. #6
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    5
    Вес репутации
    30
    Карантин загрузите по правилам
    Загрузил. Извините. Спасибо.

  8. #7
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    5
    Вес репутации
    30
    Вот новый лог mbam

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Чисто.Что с проблемой ?

    Установите Internet Explorer 8

  10. #9
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    5
    Вес репутации
    30
    После последней проверки Нод поймал еще 3 файла и удалил. Поставили Critical pre SP4 для Windows XP SP3(там был IE. После этого вирусы больше не вылезали, со звуком и панелями все в порядке. Всем спасибо за помощь!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) frisket, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Daodan, Backdoor.Delf
      От sibdvor в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.07.2008, 16:59
    2. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
      От dimonavia в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 11.02.2008, 12:55
    3. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 01:00
    4. Новый тип Backdoor - вероятно Backdoor.Delf.??
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 10.02.2005, 15:14
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00288 seconds with 16 queries