-
Junior Member
- Вес репутации
- 58
Вирус Instmtv.exe (похож по описанию на Backdoor.Win32.IRCBot.oml)
Здравствуйте. Сегодня ночью мною на диске С в корневом каталоге был обнаружен файлик 4x8q2y6t2e6.exe созданный в 1:32 . Так же он был запущен в процессах системы и прописан в реестре в авто запуске. С ним в это же время на диске были созданы файлы:
bn[1].jpg
hh[1].exe
33.scr
Instmtv.exe 288 КБ (в папке system32)
number[1].asp
и пустой файл %WINDIR%\logfile32.txt
Полазив в файлах через блокнот я нашёл много информации в том числе и ip-адреса, и сервера IRC один в один, как в описании тут -
http://www.securelist.com/ru/descrip...RCBot.oml#doc3
Нашёл такие ссылки:
http://91.195.118.56/Dialer_Min/number.asp/number.txt
http://members.lycos.fr/proxyworld/azenv.php
http://proxyworld.ifrance.com/azenv.php
http://85.17.98.226/~avtest/azenv.php
java.baldmanpower.org
java.baldmanpower.net
java.baldmanpower.com
за исключением не совпадения его названия ( в моем случае это Instmtv.exe)
А также, на ноутбуке (никак не связанный с этим компьютером, кроме общего интернета, через роутер) был заражен в 22:30 тем же вирус, только вот на нём помимо таких же файлов, есть ещё Instmsx.exe созданный 24 апреля!
Помоги пожалуйста правильно вылечить компьютер от вируса! (или, если он где-то уже опознан то ссылочку на описание, где есть помощь в удалении.) Ну и главное я хочу понять, как я заразился! Так как в это время я, как раз таки сидел в mIRC(Quakenet) чатился... вроде не вылетал, всё нормально было) по инету не лазил...
Жду ответа, если надо файлы, я их переименовал (добавив .txt) залью !
Последний раз редактировалось trojandie; 12.05.2010 в 13:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 58
Вот ещё информация:
33.scr.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
hh[1].exe.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
Instmtv.exe.txt. MD5 сумма: 761C3CB0D83DABDADDD4D150E005C96E
4x8q2y6t2e6.exe.txt. MD5 сумма: DBB3B20CCD0FDEC2BC7988C538D40092
bn[1].jpg.txt. MD5 сумма: DBB3B20CCD0FDEC2BC7988C538D40092
number[1].asp. MD5 сумма: 90ABFC621A869BE43FB703A4A3BC26F1
Это файлы, которые были созданы в это время.
Добавлено через 10 минут
Самое главное я хочу узнать, каким образом заразились оба компьютера! Причём я в это время ничего не делал, кроме чата в IRC Quakenet. Где кстати у нас парень появился, который Ддосит ребят по ip, кто не заходит к нему на канал, в итоге инет у них падает... вот мне кажется это он мне эту дрянь заслал как-то. Помогите, очень интересно, как заразился я... да и вылечится правильно хочу) я уже переименовал все файлы вируса в ручную и удалил из реестра ссылки на них, и из процессов этот файл - Instmtv.exe Так, что в логах там наверно всё чисто
Последний раз редактировалось trojandie; 12.05.2010 в 12:31.
Причина: Добавлено
-
Сообщение от
trojandie
... да и вылечится правильно хочу
http://virusinfo.info/pravila.html
-
-
Junior Member
- Вес репутации
- 58
Вроде я всё сделал по правилам... залил логи, avz, avp tool искал - ничего не нашли. Не может быть, что я вручную весь вирус убил) И самое главное я хочу узнать, как компьютер заразился!
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP185\A0075525.exe','');
QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP192\A0094031.EXE','');
QuarantineFile('C:\System Volume Information\_restore{6AB73188-775D-43FC-AF00-4F71549ACBC1}\RP192\A0094032.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\WINDOWS\system32\notepad.exe','');
QuarantineFile('C:\WINDOWS\NOTEPAD.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 58
Пофиксил, закачал.
Добавлено через 9 минут
Кстати, сами вирусы, что в начале писал
bn[1].jpg
hh[1].exe
33.scr
Instmtv.exe 288 КБ (в папке system32)
number[1].asp
я переименовал в .txt и кинул на диск D
Может вам нужны для изучения? Могу залить... Я очень хочу узнать каким образом я заразился! Чтобы снова не было такого... А то я чудом без антивиров нашёл вирус этот) и видимо сам в ручную его и остановил) хех=) боюсь, чтоб снова не поймать его а антивирами не люблю пользоваться - комп слабенький ( Скажите пожалуйста примерно, как я мог заразится, ведь в 1:32 я ничего не делал, интернет браузеры тоже запущены не были! Только mIRC с коннектом в Quakenet сеть и steam. Больше никаких сетевых программ... У меня подозрение, что это была атака правда каким-то IRC ботом через quakenet по моему ip . (так как ровно 4 часа до этого был заражён ноут этим же вирусов, причём доступ к файлам ноутбука и наоборот НЕ НАСТРОЕН! Флешки и сменные носители не использовал wi-fi на первом компьютере нет!
Единственное, что эти 2 компьютера объединяет это роутер, и общий ip-шник выделенки. Вопрос. Как я мог заразится?! Помогите.
Последний раз редактировалось trojandie; 13.05.2010 в 06:53.
Причина: Добавлено
-
Сообщение от
trojandie
я переименовал в .txt и кинул на диск D
Может вам нужны для изучения?
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
thyrex
закачал. Сейчас лог кину.
-
Junior Member
- Вес репутации
- 58
-
D:\Distribs\Дистрибутивы с Сашиного диска\VideoSplitter.exe пришлите по красной ссылке
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc86.exe (Trojan.VirTool) -> No action taken.
C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc87.scr (Trojan.VirTool) -> No action taken.
C:\RECYCLER\S-1-5-21-1715567821-2049760794-1177238915-1004\Dc88.exe (Trojan.VirTool) -> No action taken.
C:\Program Files\Vkontakte Picture 1.2.2\VkontaktePicture_1.2.2.exe.exe (Trojan.Fkantakte) -> No action taken.
D:\Vir\33.scr.txt (Trojan.VirTool) -> No action taken.
D:\Vir\4x8q2y6t2e6.exe.txt (Trojan.VirTool) -> No action taken.
D:\Vir\bn[1].jpg.txt (Trojan.VirTool) -> No action taken.
D:\Vir\hh[1].exe.txt (Trojan.VirTool) -> No action taken.
D:\Vir\Instmtv.exe.txt (Trojan.VirTool) -> No action taken.
D:\Distribs\Дистрибутивы с Сашиного диска\Anti Viruses\Quarantine\2008-08-13\avz00004.dta (Trojan.KillAV) -> No action taken.
D:\Distribs\Дистрибутивы с Сашиного диска\Anti Viruses\Quarantine\2010-05-12\avz00002.dta (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Да VideoSplitter это прога для обрезания видео, я ей давно пользовался, странно, что многие утилиты ее за вирус считают.. окей, залил.
-
Junior Member
- Вес репутации
- 58
Так как такими вирусами заражаются? Кто нибудь знает?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
-
Junior Member
- Вес репутации
- 58
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
Я это вручную в реестре исправил на 0, а "FirstRunDisabled" нужно тоже 0?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Так, как я мог заразиться этим Instmtv.exe ...? Как они закачались ко мне, если я даже интернет браузеры не запускал в то время...?
-
Флешки, локальная сеть.
А вообще вопрос скорее к вирусным аналитикам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Ясно... просто флешек я не сувал почти год) да и сетка с ноутом, который заразился раньше есть, но по ней только инет идет с роутера, а доступа к файлам нет! У меня подозрение, что это было умышленно. А что и написал сюда, что никогда не сталкивался с подобным и скорей всего не сам заразился а был заражен кем-то, кто узнал ip.