Показано с 1 по 15 из 15.

BackDoor.Generic.1138 (заявка № 8429)

  1. #1
    Junior Member Репутация
    Регистрация
    15.03.2007
    Сообщений
    22
    Вес репутации
    63

    Thumbs up BackDoor.Generic.1138

    Поймал BackDoor.Generic.1138,
    1. нет доступа к реестру.....
    2. нет доступа к свойствам папки
    3. может еще что-нибудь ????
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577

    Exclamation

    В AVZ выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe','');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Application Data\br4743on.exe');
     DeleteFile('C:\Documents and Settings\Админ.ORG-OTD\Local Settings\Application Data\br11805on.exe');
     DeleteFile('C:\WINDOWS\Media\br3951on.exe');
     DeleteFile('C:\WINDOWS\ShellNew\RakyatKelaparan.exe');
     DeleteFile('Explorer.exe C:\WINDOWS\KesenjanganSosial.exe');
     DeleteFile('C:\Documents and Settings\Админ.ORG-OTD\Шаблоны\21792-NendangBro.com');
     DeleteFile('sockspy.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ClearHostsFile;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis (что останется):
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
    O4 - HKCU\..\Run: [Tok-Cirrhatus-5391] "C:\Documents and Settings\Админ.ORG-OTD\Local Settings\Application Data\br11805on.exe"
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
    В Панели Управления -> Назначенные задания:
    удалите оба задания.

    Сделайте новые логи + добавьте файл boot_clr.log из папки с AVZ.
    Последний раз редактировалось Bratez; 15.03.2007 в 13:10.

  4. #3
    Junior Member Репутация
    Регистрация
    15.03.2007
    Сообщений
    22
    Вес репутации
    63
    Все рекомендации выполнил.
    С первого взгляда, все стало нормально.
    Огромное спасибо.
    RegEdit стал запускаться, и свойства папки появились .....

    Высылаю логи после выполнения скрипта....
    а вот файл boot_clr.log я почему-то не нашел ????

    Посмотрю как будет работать в ближайшие дни.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    BitDefender и Dr.Web друг другу не мешают?

    В карантин от сегодняшнего числа должен был попасть файл. Его нужно загрузить через форму. См. ссылку вверху.

    Подробности описаны в правилах.

    До конца еще не вылечились. В AVZ файл -- восст. системы -- отметить п.6 -- выполнить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Главный зверь убит. Осталась еще парочка подозрительных файликов.
    Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe','');
     QuarantineFile('D:\Distr\DVD-SOFT\DIVX CREATE BUNDLE V6.3\KEYGEN\KEYMAKER.EXE','');
    CreateQurantineArchive(GetAVZDirectory+'8429_quarantine.zip');
    end.
    и пришлите архив карантина 8429_quarantine.zip из папки с AVZ по ссылке вверху страницы.
    Последний раз редактировалось Bratez; 15.03.2007 в 17:00.

  7. #6
    Junior Member Репутация
    Регистрация
    15.03.2007
    Сообщений
    22
    Вес репутации
    63
    Я BitDefender снес совсем, после того как доступ в реестр появился, ...ведь он этого виря и проспал... а поставил Dr.Web им же и лечился ....
    А в карантине только пустая папка "2007-03-15"

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Про Битдефендер написал, потому что он есть в протоколах. Живой и невредимый.

    Да и выполни скрипт Bratez
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    15.03.2007
    Сообщений
    22
    Вес репутации
    63
    п.6 - я уже выполнял.......
    файл архива карантина выслать не дает, его размер 330К - что превышает лимит на форуме ........

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Почитайте внимательно правила раздела, там написано как прислать файлы карантина.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Файл надо выслать по ссылке "Прислать запрошенные файлы" вверху страницы.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Карантин получен. Результат для 'D:\Distr\DVD-SOFT\DIVX CREATE BUNDLE V6.3\KEYGEN\KEYMAKER.EXE':
    AhnLab-V3 2007.3.15.0 03.15.2007 no virus found
    AntiVir 7.3.1.43 03.15.2007 no virus found
    Authentium 4.93.8 03.14.2007 no virus found
    Avast 4.7.936.0 03.14.2007 no virus found
    AVG 7.5.0.447 03.15.2007 no virus found
    BitDefender 7.2 03.15.2007 no virus found
    CAT-QuickHeal 9.00 03.14.2007 (Suspicious) - DNAScan
    ClamAV 0.90.1 03.15.2007 no virus found
    DrWeb 4.33 03.15.2007 no virus found
    eSafe 7.0.14.0 03.14.2007 no virus found
    eTrust-Vet 30.6.3480 03.15.2007 no virus found
    Ewido 4.0 03.15.2007 no virus found
    FileAdvisor 1 03.15.2007 no virus found
    Fortinet 2.85.0.0 03.15.2007 suspicious
    F-Prot 4.3.1.45 03.14.2007 no virus found
    F-Secure 6.70.13030.0 03.15.2007 no virus found
    Ikarus T3.1.1.3 03.15.2007 no virus found
    Kaspersky 4.0.2.24 03.15.2007 no virus found
    McAfee 4984 03.14.2007 no virus found
    Microsoft 1.2306 03.15.2007 no virus found
    NOD32v2 2117 03.15.2007 no virus found
    Norman 5.80.02 03.15.2007 no virus found
    Panda 9.0.0.4 03.15.2007 Suspicious file
    Prevx1 V2 03.15.2007 no virus found
    Sophos 4.15.0 03.13.2007 Mal/Packer
    Sunbelt 2.2.907.0 03.15.2007 VIPRE.Suspicious
    Symantec 10 03.15.2007 no virus found

    TheHacker 6.1.6.076 03.15.2007 no virus found
    UNA 1.83 03.14.2007 no virus found
    VBA32 3.11.2 03.15.2007 no virus found
    VirusBuster 4.3.7:9 03.15.2007 Packed/Upack
    Насколько я понимаю, ничего страшного.
    А вот 'C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.78 1\SBRunScr.exe' в карантин не попал. Давайте попробуем так:
    Код:
    begin
    ClearQuarantine;
    BC_QrFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe') ;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'8429-2_quarantine.zip');
    end.
    и пришлите файл '8429-2_quarantine.zip' по той же ссылке.

  13. #12
    Junior Member Репутация
    Регистрация
    15.03.2007
    Сообщений
    22
    Вес репутации
    63
    Скрипты выполнил, но файл в карантин не попадает - создается пустой архив

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Тогда сделаем так. Пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\Run: [SBRunScr] C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe
    Затем перезагрузитесь, запустите снова HijackThis и проверьте наличие этой строки. Если ее не будет, на этом ставим точку.

  15. #14
    Junior Member Репутация
    Регистрация
    15.03.2007
    Сообщений
    22
    Вес репутации
    63
    Пофиксил, перезагрузился, строка не появилась
    комп работает нормально
    Огромное спасибо за помощь!!!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Леонид, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.Generic.1138
      От Lisenda в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:42
    2. BackDoor.Generic.1138
      От Emin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:51
    3. BackDoor.Generic.1138
      От Batyrzhan в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.12.2007, 16:16
    4. BackDoor.Generic.1138
      От countess_lr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.04.2007, 15:52
    5. BackDoor.Generic.1138
      От Koluchka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 31.01.2007, 17:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01337 seconds with 20 queries