Jump to content
СофтФорум - всё о компьютерах и не только

Пытался удалить BackDoor вручную...


Recommended Posts

Гдето зацепил заразу. NIS 2008 пропустил... Пытался удалить вручную и с помощью CureIt, но видать не все так просто, Фаервол постоянно пишет о блокировании доступа в сеть каких-то процессов типа темп0-34578. Ерунда вроде. В общем, оцените логи, пожалуйста!

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Link to comment
Share on other sites

в принципе вижу какой-то запущенный процесс

C:\WINDOWS\TEMP\tempo-462609.tmp

+ ХайДжек сообщил об изменении c:/autorun...

вобщем, пока ничего не трогаю...

Заранее спасибо за советы!

Link to comment
Share on other sites

C:\WINDOWS\system32\dll.dll проверьте на virustotal Ссылку на результат проверки сообщите

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\autorun.inf','');DeleteFile('C:\autorun.inf');DeleteFileMask(‘c:\windows\temp\', '*. *', true);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Ваши DNS 85.255.112.20,85.255.112.141, 85.255.112.104,85.255.112.155 ?

Ваш провайдер?

org-name: UkrTeleGroup Ltd.

address: UkrTeleGroup Ltd.

Mechnikova 58/5

65029 Odessa

Ukraine

Если нет, то пофиксить в HiJack

 O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA52380-ACA9-4041-977A-2433DD211FE9}: NameServer = 85.255.112.20,85.255.112.141O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.20,85.255.112.141O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.104,85.255.112.155O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.20,85.255.112.141 

В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи.

Link to comment
Share on other sites

C:\WINDOWS\system32\dll.dll проверьте ...

не нашел я у себя этой библиотеки, ни по этому адресу, ни по другим...

Ваши DNS 85.255.112.20,85.255.112.141, 85.255.112.104,85.255.112.155 ?

Ваш провайдер?

нет!!! не мой! до Украины как до луны... (еще вопрос, что дешевле...)

Link to comment
Share on other sites

Все рекомендации выполнили? Что с проблемами?

Это троянсике DNS, они вам не к чему. Что дешевле узнавайте у вашего провайдера.

Link to comment
Share on other sites

Что с проблемами?

проблемы прежние - NIS2008 блокирует доступ к сети, вируса не видит но он есть... DNS пофиксил...

Что дешевле узнавайте у вашего провайдера.

про Луну пошутить пытался, не все уж так серьезно )))

Link to comment
Share on other sites

А почему тогда не выполняете

В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи.
Link to comment
Share on other sites

А почему тогда не выполняете

быстро сказка сказывается, да не быстро дело делается... прогоняю заново, делаю логи...

карантин по адресу отправил!

новые логи - пожалуйста...

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Link to comment
Share on other sites

Уже что-то новенькое

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys','');QuarantineFile('C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll','');DeleteFile('C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll');DeleteFile('C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Пофиксить в HiJack

 O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA52380-ACA9-4041-977A-2433DD211FE9}: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210 

Сделайте новые логи

Дополнительно:

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Link to comment
Share on other sites

получил ответ от Касперов:

ptahrsbf.sys - Rootkit.Win32.Agent.kqa

Детектирование файла будет добавлено в следующее обновление.

Link to comment
Share on other sites

Нортон проснулся, целый день ругается: "Лошади! Лошади!"

Правильно ругается. у него "открылись глаза" после удаления руткита :D

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service gxvxcserv.sysgmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys"gmer.exe -del file "C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys"gmer -reboot

И запустите cleanup.bat

Проверьте систему на всякий случай с помощью Malwarebytes' Anti-Malware. Скачайте MВАМ здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Link to comment
Share on other sites

В этом логе чисто.

Если DNS-адреса уже пофиксили в HiJack, тогда зловредов больше быть не должно

В качестве рекомендаций

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus

Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

Советую прочитать

Безопасный Интернет. Универсальная защита для Windows ME - Vista,

Базовая концепция системы безопасности ОС Windows семейства NT

Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

Чистого Вам Интернета!

Link to comment
Share on other sites

thyrex

отдельное спасибо за советы, перечисленным софтом пользуюсь давно, а вот про настройки системы - это в десятку! Еще раз благодарю за помощь! :g:

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...