Уничтожение вирусов [OK]

[ворчун]

Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать?

[akoK]

Помогаю....

1. Необходимо делать логи.

[ворчун]

Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать?

сделал логи........

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[akoK]

Дайте путь к файлу на который "ругается" антивирус.

Изменено 20 июня, 2009 пользователем akoK

[ворчун]

Дайте путь к файлу на который "ругается" антивирус.

1. 20.06.2009 15:18:12 C:\WINDOWS\SYSTEM32\35.scr C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно

2. 20.06.2009 15:18:32 C:\DOCUMENTS AND SETTINGS\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4HUVKLIJ\x[1] C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно

[миднайт]

Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

[/CODE]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\trafinspag.exe','');
QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE','');
SetServiceStart('RemoteRegistry', 4);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.

 

После перезагрузки, выполнить скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

[/CODE]
[code]begin
CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip');
end.

 

Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи.

Изменено 22 июня, 2009 пользователем wise-wistful
добавил ссылку, что значит выполнпить скрипт в АВЗ

[akoK]

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[ворчун]

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

Спасибо за то, что помогаете , вот отчёты

 

Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине?

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\trafinspag.exe','');
QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE','');
SetServiceStart('RemoteRegistry', 4);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.

 

После перезагрузки, выполнить скрипт

 

begin
CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip');
end.

 

Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи.

большое спасибо за содействие, АйПи действительно знаком.....

info.txt

log.txt

Изменено 22 июня, 2009 пользователем ворчун

[ворчун]

Уважаемые Архимеды , Пифагоры и прочие Великие мастера по удалению вирусов и червяков, что мне делать дальше.....логи и отчёты были выложены в предыдущих сообщениях.

Жду с нетерпением дальнейших указаний!

[thyrex]

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[ворчун]

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

всё сделал

GMER.log

[миднайт]

Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Удалите симантек, у вас же касперский стоит. Защиту нортона надо быдумаю было на время лечения выключить.

В AVZ выполните скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\NPROTECT\00011317.sys ','');
QuarantineFile('C:\RECYCLER\NPROTECT\00011279.sys ','');
QuarantineFile('C:\RECYCLER\NPROTECT\00012596.kdl','');
RebootWindows(true);
end.

 

После перезагрузки, выполнить скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new2.zip');
end.

Отправить карантин в вирлаб. newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Сюда результат анализа запостить. Если знаете что у вас за файлы там забэкаплены - еще лучше ).

Изменено 22 июня, 2009 пользователем миднайт

[ворчун]

Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения

[DaTa]

я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения

Отправте письмо на newvirus@kaslersky.com но перед отправкой незабудьте прикрепить карантин созданый при помощи антивирусной утилиты AVZ. Также в тее письма укажите пароль к архиву карантина(по умолчанию пароль: virus).

[ворчун]

1. первые скрипты выполнил, получился не архив а папка, но она не отправляется на вирлаб

2. что такое симантек?