Показано с 1 по 4 из 4.

Попался в ботнет (заявка № 93178)

  1. #1
    Junior Member Репутация
    Регистрация
    08.12.2010
    Сообщений
    2
    Вес репутации
    49

    Cool Попался в ботнет

    Доброго времени суток.

    Поймал вирусяку, никак не могу избавиться. Симптомы - постоянная отсылка почты (видимо ботнет) и огромный список подключений (смотрю через netstat -a -b).

    Удалил пару очевидных вирусов - windows\system\dwm.exe и windows\system32\regedit.exe, но спам всё равно лезет.

    Посмотрел ms network monitor-ом, какой процесс шлёт траффик - оказалось один из svchost.exe, службы в котором невозможно посмотреть - process explorer говорит, что служб там нет

    Спасаюсь тем, что засуспендил этот процесс, в котором видимо и сидит бот.



    Пожалуйста, помогите! Весь день пытался выкурить это чудо самостоятельно - но видимо нехватает опыта в таких делах. Заранее спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('cjwwxsgo');
     QuarantineFile('D:\WINDOWS\system32\drivers\cjwwxsgo.sys','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('D:\WINDOWS\system32\meunlair.dll','');
     QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('D:\WINDOWS\system32\rescue32.exe','');
     DeleteFile('D:\WINDOWS\system32\rescue32.exe');
     DeleteFile('D:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('D:\WINDOWS\system32\meunlair.dll');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     DeleteFile('d:\program files\opera\setupapi.dll');
     DeleteFile('D:\WINDOWS\system32\drivers\cjwwxsgo.sys');
     BC_DeleteSvc('cjwwxsgo');      
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Установлен ли браузер FireFox?

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    08.12.2010
    Сообщений
    2
    Вес репутации
    49
    Уважаемый Olejah, огромное спасибо за Вашу помощь!

    К сожалению, после выполнения скрипта, вирус не удалился =(. А запустив скрипт второй раз, я благополучно стёр все файлы в карантине, не заметив в скрипте третью строчку =).

    К счастью, сегодня утром скачал malwarebytes antimalware (не сочтите за рекламу), и после первого же сканирования избавился от всех (надеюсь) проблем, коих оказалось ни разу не один и не два.

    Выкладываю лог mbam-а, если необходимо - могу выложить файлы из его карантина.

    Ещё раз, спасибо за Вашу оперативную помощь!

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Ну круто конечно, не за что. Рекомендуется -

    - Установить все важные обновления.
    - Установить IE 8 - даже если Вы им не пользуетесь.

  • Уважаемый(ая) reav123, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. и я с LockDir попался
      От abilla в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.01.2012, 22:45
    2. Помогите,попался вымогателям!
      От ТТМ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 13.03.2011, 13:51
    3. Еще один попался на tt1.tmp.vbs
      От Куликовских Дмитрий в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 08:04
    4. попался на bolenjx.exe и bolenja.exe
      От Vovathuma в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 03:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00608 seconds with 17 queries