Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Вирус Instmtv.exe (похож по описанию на Backdoor.Win32.IRCBot.oml) (заявка № 78162)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35

    Thumbs up Вирус Instmtv.exe (похож по описанию на Backdoor.Win32.IRCBot.oml)

    Здравствуйте. Сегодня ночью мною на диске С в корневом каталоге был обнаружен файлик 4x8q2y6t2e6.exe созданный в 1:32 . Так же он был запущен в процессах системы и прописан в реестре в авто запуске. С ним в это же время на диске были созданы файлы:
    bn[1].jpg
    hh[1].exe
    33.scr

    Instmtv.exe 288 КБ (в папке system32)
    number[1].asp
    и пустой файл %WINDIR%\logfile32.txt

    Полазив в файлах через блокнот я нашёл много информации в том числе и ip-адреса, и сервера IRC один в один, как в описании тут -

    http://www.securelist.com/ru/descrip...RCBot.oml#doc3

    Нашёл такие ссылки:
    http://91.195.118.56/Dialer_Min/number.asp/number.txt
    http://members.lycos.fr/proxyworld/azenv.php
    http://proxyworld.ifrance.com/azenv.php
    http://85.17.98.226/~avtest/azenv.php
    java.baldmanpower.org
    java.baldmanpower.net
    java.baldmanpower.com


    за исключением не совпадения его названия ( в моем случае это Instmtv.exe)

    А также, на ноутбуке (никак не связанный с этим компьютером, кроме общего интернета, через роутер) был заражен в 22:30 тем же вирус, только вот на нём помимо таких же файлов, есть ещё Instmsx.exe созданный 24 апреля!

    Помоги пожалуйста правильно вылечить компьютер от вируса! (или, если он где-то уже опознан то ссылочку на описание, где есть помощь в удалении.) Ну и главное я хочу понять, как я заразился! Так как в это время я, как раз таки сидел в mIRC(Quakenet) чатился... вроде не вылетал, всё нормально было) по инету не лазил...

    Жду ответа, если надо файлы, я их переименовал (добавив .txt) залью !
    Последний раз редактировалось trojandie; 12.05.2010 в 12:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Вот ещё информация:
    33.scr.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
    hh[1].exe.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
    Instmtv.exe.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
    4x8q2y6t2e6.exe.txt. MD5 сумма: DBB3B20CCD0FDEC2BC7988C538D40092
    bn[1].jpg.txt. MD5 сумма: DBB3B20CCD0FDEC2BC7988C538D40092
    number[1].asp. MD5 сумма: 90ABFC621A869BE43FB703A4A3BC26F1

    Это файлы, которые были созданы в это время.

    Добавлено через 10 минут

    Самое главное я хочу узнать, каким образом заразились оба компьютера! Причём я в это время ничего не делал, кроме чата в IRC Quakenet. Где кстати у нас парень появился, который Ддосит ребят по ip, кто не заходит к нему на канал, в итоге инет у них падает... вот мне кажется это он мне эту дрянь заслал как-то. Помогите, очень интересно, как заразился я... да и вылечится правильно хочу) я уже переименовал все файлы вируса в ручную и удалил из реестра ссылки на них, и из процессов этот файл - Instmtv.exe Так, что в логах там наверно всё чисто
    Последний раз редактировалось trojandie; 12.05.2010 в 11:31. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от trojandie Посмотреть сообщение
    ... да и вылечится правильно хочу
    http://virusinfo.info/pravila.html

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Вроде я всё сделал по правилам... залил логи, avz, avp tool искал - ничего не нашли. Не может быть, что я вручную весь вирус убил) И самое главное я хочу узнать, как компьютер заразился!

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP185\A0075525.exe','');
     QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP192\A0094031.EXE','');
     QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP192\A0094032.exe','');
     QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
     QuarantineFile('C:\WINDOWS\system32\notepad.exe','');
     QuarantineFile('C:\WINDOWS\NOTEPAD.EXE','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Пофиксил, закачал.

    Добавлено через 9 минут

    Кстати, сами вирусы, что в начале писал
    bn[1].jpg
    hh[1].exe
    33.scr
    Instmtv.exe 288 КБ (в папке system32)
    number[1].asp

    я переименовал в .txt и кинул на диск D
    Может вам нужны для изучения? Могу залить... Я очень хочу узнать каким образом я заразился! Чтобы снова не было такого... А то я чудом без антивиров нашёл вирус этот) и видимо сам в ручную его и остановил) хех=) боюсь, чтоб снова не поймать его а антивирами не люблю пользоваться - комп слабенький ( Скажите пожалуйста примерно, как я мог заразится, ведь в 1:32 я ничего не делал, интернет браузеры тоже запущены не были! Только mIRC с коннектом в Quakenet сеть и steam. Больше никаких сетевых программ... У меня подозрение, что это была атака правда каким-то IRC ботом через quakenet по моему ip . (так как ровно 4 часа до этого был заражён ноут этим же вирусов, причём доступ к файлам ноутбука и наоборот НЕ НАСТРОЕН! Флешки и сменные носители не использовал wi-fi на первом компьютере нет!

    Единственное, что эти 2 компьютера объединяет это роутер, и общий ip-шник выделенки. Вопрос. Как я мог заразится?! Помогите.
    Последний раз редактировалось trojandie; 13.05.2010 в 05:53. Причина: Добавлено

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Цитата Сообщение от trojandie Посмотреть сообщение
    я переименовал в .txt и кинул на диск D
    Может вам нужны для изучения?
    Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Цитата Сообщение от thyrex Посмотреть сообщение
    Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    закачал. Сейчас лог кину.

  11. #10
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Log

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    D:\Distribs\Дистрибутивы с Сашиного диска\VideoSplitter.exe пришлите по красной ссылке

    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Зараженные файлы:
    C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc86.exe (Trojan.VirTool) -> No action taken.
    C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc87.scr (Trojan.VirTool) -> No action taken.
    C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc88.exe (Trojan.VirTool) -> No action taken.
    C:\Program Files\Vkontakte Picture 1.2.2\VkontaktePicture_1.2.2.exe.exe (Trojan.Fkantakte) -> No action taken.
    D:\Vir\33.scr.txt (Trojan.VirTool) -> No action taken.
    D:\Vir\4x8q2y6t2e6.exe.txt (Trojan.VirTool) -> No action taken.
    D:\Vir\bn[1].jpg.txt (Trojan.VirTool) -> No action taken.
    D:\Vir\hh[1].exe.txt (Trojan.VirTool) -> No action taken.
    D:\Vir\Instmtv.exe.txt (Trojan.VirTool) -> No action taken.
    D:\Distribs\Дистрибутивы с Сашиного диска\Anti Viruses\Quarantine\2008-08-13\avz00004.dta (Trojan.KillAV) -> No action taken.
    D:\Distribs\Дистрибутивы с Сашиного диска\Anti Viruses\Quarantine\2010-05-12\avz00002.dta (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Да VideoSplitter это прога для обрезания видео, я ей давно пользовался, странно, что многие утилиты ее за вирус считают.. окей, залил.

  14. #13
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Так как такими вирусами заражаются? Кто нибудь знает?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Новый лог МВАМ где?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    log

  17. #16
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

    Я это вручную в реестре исправил на 0, а "FirstRunDisabled" нужно тоже 0?

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Лог в порядке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Так, как я мог заразиться этим Instmtv.exe ...? Как они закачались ко мне, если я даже интернет браузеры не запускал в то время...?

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Флешки, локальная сеть.

    А вообще вопрос скорее к вирусным аналитикам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    47
    Вес репутации
    35
    Ясно... просто флешек я не сувал почти год) да и сетка с ноутом, который заразился раньше есть, но по ней только инет идет с роутера, а доступа к файлам нет! У меня подозрение, что это было умышленно. А что и написал сюда, что никогда не сталкивался с подобным и скорей всего не сам заразился а был заражен кем-то, кто узнал ip.

  • Уважаемый(ая) trojandie, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. помагите вирус backdoor:win32/IRCbot.dl
      От xeper в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.06.2010, 08:48
    2. Backdoor.Win32.IRCBot.lmf
      От dolphin_al в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.10.2009, 12:56
    3. Backdoor.Win32.IRCBot.lgq
      От redF в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 24.07.2009, 22:26
    4. Backdoor.Win32.IRCBot.csk
      От LomasterPAS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 12:01
    5. Backdoor.Win32.IRCBot.wt
      От Demien в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 17.06.2007, 17:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01010 seconds with 16 queries