Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Я БОТ !!! (заявка № 80584)

  1. #1
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31

    Thumbs up Я БОТ !!!

    Остается добавить "НЯ" к названию и станет понятен стиль моего общения с компьютером...Были две темы от меня-NSSM и NHL,первую вроде вылечили(хотя до конца ли,непонятно),со второй сделать ничего не смогли-пришлось откатываться...Прошло дней пять и началось-"Обнаружено Троянская программа Trojan-Downloader.BAT.Ftp.ab. Kaspersky Internet Security.Файл C:\WINDOWS\system32\eq"-такие вот сообщения по 20 раз на дню...А еще последние два дня такое:"Запрещено: Использование программных интерфейсов системы (DNS) C:\WINDOWS\ SYSTEM32.EXE C:\WINDOWS\system32.exe Использование службы кэширования DNS запросов для преобразования tbt.mytijn.org" около 50000(пятидесяти тысяч) раз.Правда я это остановил каким-то скриптом из интернета(скрипт могу показать)...А еще DrWEB CUREIT таки нашел и грохнул:
    "С:\WINDOWS\system32\nhl.exe инфицирован BackDoor.IRC.Sdbot.12924",а ничего не изменилось...Меня используют!!!Помогите!!!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки прикрепите к сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    Файл сохранён как 100609_224129_virusinfo_files_879EC37AEA394C9_4c0f e0593217d.zip

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('c:\windows\system32.exe');
     DeleteFile('C:\WINDOWS\system32\winsys2.exe');
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
     DeleteFile('C:\WINDOWS\system32.dll');
     DeleteFile('C:\WINDOWS\msauc.exe');
     DeleteFile('C:\WINDOWS\system32\crypts.dll');
     DeleteFile('=.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    ГОТОВО!

  7. #6
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    А с найденым в Malware что делать то?

    Добавлено через 6 минут

    Да и,кстати,никак не хотят устанавливаться два обновления ".NET Framework 3.5",винда их уж пятый раз сегодня устанавливает,потом пишет,что все ОК,потом опять предлагает их же...
    Последний раз редактировалось ALEXANDER71; 09.06.2010 в 23:57. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
    обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    -Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    На этом можно считать лечение законченным.

  9. #8
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31

    НЕТ НЕ ЗАКРЫТО

    Он не исчез!!!Касперский(правда после долгого молчания)зафиксировал его!!!-"10.06.2010 17:45:04 Запрещено Доступ к параметрам безопасности Запуск C:\WINDOWS\system32\ NHL.EXE nhl.exe Автоматический запуск " Да я его и сейчас вижу в папке SYSTEM32,даже логотип у него есть.А вот что сказал Virustotal:

    Результат: 13/41 (31.71%)

    Антивирус
    Версия
    Обновление
    Результат

    a-squared
    5.0.0.26
    2010.06.08
    Virus.Win32.VBInject!IK
    AhnLab-V3
    2010.06.08.06
    2010.06.08
    -
    AntiVir
    8.2.2.6
    2010.06.08
    -
    Antiy-AVL
    2.0.3.7
    2010.06.08
    -
    Authentium
    5.2.0.5
    2010.06.08
    -
    Avast
    4.8.1351.0
    2010.06.08
    Win32:Malware-gen
    Avast5
    5.0.332.0
    2010.06.08
    Win32:Malware-gen
    AVG
    9.0.0.787
    2010.06.08
    Dropper.Generic2.QFK
    BitDefender
    7.2
    2010.06.08
    -
    CAT-QuickHeal
    10.00
    2010.06.08
    -
    ClamAV
    0.96.0.3-git
    2010.06.08
    -
    Comodo
    5031
    2010.06.08
    Heur.Suspicious
    DrWeb
    5.0.2.03300
    2010.06.08
    BackDoor.IRC.Sdbot.12924
    eSafe
    7.0.17.0
    2010.06.08
    Win32.VirToolVBInjec
    eTrust-Vet
    36.1.7618
    2010.06.08
    -
    F-Prot
    4.6.0.103
    2010.06.08
    -
    F-Secure
    9.0.15370.0
    2010.06.08
    -
    Fortinet
    4.1.133.0
    2010.06.08
    -
    GData
    21
    2010.06.08
    Win32:Malware-gen
    Ikarus
    T3.1.1.84.0
    2010.06.08
    Virus.Win32.VBInject
    Jiangmin
    13.0.900
    2010.06.08
    -
    Kaspersky
    7.0.0.125
    2010.06.08
    -
    McAfee
    5.400.0.1158
    2010.06.08
    -
    McAfee-GW-Edition
    2010.1
    2010.06.08
    Artemis!98C60578B798
    Microsoft
    1.5802
    2010.06.08
    VirTool:Win32/VBInject.gen!EC
    NOD32
    5183
    2010.06.08
    -
    Norman
    6.04.12
    2010.06.08
    -
    nProtect
    2010-06-08.01
    2010.06.08
    -
    Panda
    10.0.2.7
    2010.06.08
    Generic Malware
    PCTools
    7.0.3.5
    2010.06.08
    -
    Prevx
    3.0
    2010.06.08
    High Risk Cloaked Malware
    Rising
    22.51.01.04
    2010.06.08
    -
    Sophos
    4.53.0
    2010.06.08
    -
    Sunbelt
    6420
    2010.06.08
    -
    Symantec
    20101.1.0.89
    2010.06.08
    -
    TheHacker
    6.5.2.0.295
    2010.06.08
    -
    TrendMicro
    9.120.0.1004
    2010.06.08
    -
    TrendMicro-HouseCall
    9.120.0.1004
    2010.06.08
    -
    VBA32
    3.12.12.5
    2010.06.08
    -
    ViRobot
    2010.6.8.2343
    2010.06.08
    -
    VirusBuster
    5.0.27.0
    2010.06.08
    -


    Ну а все предыдущее я сделал...

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    сделайте лог Combofix

  11. #10
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    Странно на рабочем столе появился еще один значек IE,причем на одном из них стрелочка(типа ярлык для IE)???

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\nhl.exe','');
     DeleteFile('c:\windows\system32\nhl.exe');
     QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-47b47df4-n\msvcp71.dll','');
     QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-47b47df4-n\jmc.dll','');
     QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2bb1b491-n\decora-sse.dll','');
     QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2bb1b491-n\decora-d3d.dll','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  13. #12
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    Файл сохранён как 100610_225534_quarantine_4c113526ae1bd.zip
    Размер файла 683544
    MD 5ee9130b937718bfbc77f304dc06e45ad

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Удалите ComboFix

    Что с проблемой?

  15. #14
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    polword, Вроде тишина,nhl.exe из папки system32 исчез,Reg Organizer показал,что тоже чисто.Давайте подождем до завтра(ночью не выключаюсь)...В любом случае спасибо за помощь!...А интересная утилита OTC-грохнула даже резервный файл ComboFixа и его отчет на другом диске...

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    обновите систему

  17. #16
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    Цитата Сообщение от polword Посмотреть сообщение
    обновите систему
    Вы имеете в виду полную переустановку???????? (Кстати,он вернулся-"11.06.2010 2:05:35 Удалено Троянская программа Trojan-Downloader.BAT.Ftp.ab C:\WINDOWS\system32\ ftp.exe ftp -n -s:eq C:\WINDOWS\system32\eq ".)

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    Добавлено через 2 минуты

    после обновления сделайте комплект логов еще раз
    Последний раз редактировалось polword; 11.06.2010 в 10:33. Причина: Добавлено

  19. #18
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    IE8 установил еще вчера,все обновил.А какие нужны логи?Сделал те,которые из правила.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    в логах чисто

  21. #20
    Junior Member Репутация
    Регистрация
    30.10.2009
    Сообщений
    38
    Вес репутации
    31
    Да и Касперский пока молчит,кроме того утреннего...Подождем что-ли до завтра!

  • Уважаемый(ая) ALEXANDER71, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01659 seconds with 15 queries