-
Junior Member
- Вес репутации
- 53
BackDoor.IRC.Bot.166
Здравствуйте!
С недавнего времени начали появляться exe файлы в system32 с двумя цифрами в имени(24, 01, 86 и т.п.) Начал пропадать звук в видео(сис. звуки и музыка есть), панели окон и трей меняются со стиля windows XP на Классический стиль.
Загружались в безопасном режиме, сканировали(сис. папки) CureIt'ом, находил эти exe и удалял, но они появлялись снова. Загружались с LiveCD, сканировали(опять же только сис. папки) всё так же находил и удалял. Проблема не решилась, PC Tools Firewall Plus перехватывал эти экзешники. Даже загружались через убунту, проверяли dr. Web'ом папки win, все эти вирусы распознает как BackDoor.IRC.Bot.166. Что делать уже не знаем, решили обратиться к вам. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('GarenaPEngine');
QuarantineFile('C:\Мои документы\-\ВСЯКОЕ\2003\Б\Бакшанадева\Бакшандаева.rar','');
QuarantineFile('C:\Documents and Settings\faint\Мои документы\МИФИ\Delphi 6\Задание 4\Задача 1 (светофор)\Project1.exe','');
QuarantineFile('G:\Downloads\Torrent\l2c6\lineage2c6\system\npkcrypt.sys','');
QuarantineFile('J:\distr\Пароли\Multi Password Recovery\mpr_freader.sys','');
QuarantineFile('C:\WINDOWS.0\system\sservice.exe','');
QuarantineFile('C:\WINDOWS.0\system32\fservice.exe','');
QuarantineFile('C:\WINDOWS.0\TEMP\LQZ3C66.tmp','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\BSzBT.exe','');
DeleteFile('C:\WINDOWS.0\system\sservice.exe');
DeleteFile('C:\WINDOWS.0\system32\fservice.exe');
DeleteFile('C:\WINDOWS.0\TEMP\LQZ3C66.tmp');
DeleteFile('C:\WINDOWS.0\system32\drivers\BSzBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DelCLSID('{5Y99AE78-58TT-11dW-BE53-Y67078979Y}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новый лог virusinfo_syscheck.zip + такой лог: http://virusinfo.info/showthread.php?t=53070
Remote Administrator Service (C:\WINDOWS.0\system32\r_server.exe) - сами ставили?
-
-
Junior Member
- Вес репутации
- 53
Вот логи. Radmin сам ставил.
-
Карантин загрузите по правилам !
-
-
+ snifer67
Удалите в mbam:
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{5y99ae78-58tt-11dw-be53-y67078979y} (Backdoor.ProRat) -> No action taken.
Заражено папок:
C:\Documents and Settings\faint\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
Заражено файлов:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GSNVE3H4\61[2].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\faint\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\faint\delself.bat (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\41.exe (Trojan.FakeAlert) -> No action taken.
Сделайте новый лог mbam.
Карантин обязательно загрузите:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "
прислать запрошенный карантин" вверху темы.
-
-
Junior Member
- Вес репутации
- 53
Карантин загрузите по правилам
Загрузил. Извините. Спасибо.
-
Junior Member
- Вес репутации
- 53
-
Чисто.Что с проблемой ?
Установите Internet Explorer 8
-
-
Junior Member
- Вес репутации
- 53
После последней проверки Нод поймал еще 3 файла и удалил. Поставили Critical pre SP4 для Windows XP SP3(там был IE. После этого вирусы больше не вылезали, со звуком и панелями все в порядке. Всем спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения вредоносные программы в карантинах не обнаружены
-