ворчун 0 Опубликовано 19 июня, 2009 Share Опубликовано 19 июня, 2009 Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать? Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 июня, 2009 Share Опубликовано 19 июня, 2009 Помогаю.... 1. Необходимо делать логи. Цитата Ссылка на сообщение Поделиться на другие сайты
ворчун 0 Опубликовано 20 июня, 2009 Автор Share Опубликовано 20 июня, 2009 Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать? сделал логи........ hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 20 июня, 2009 Share Опубликовано 20 июня, 2009 (изменено) Дайте путь к файлу на который "ругается" антивирус. Изменено 20 июня, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
ворчун 0 Опубликовано 20 июня, 2009 Автор Share Опубликовано 20 июня, 2009 Дайте путь к файлу на который "ругается" антивирус. 1. 20.06.2009 15:18:12 C:\WINDOWS\SYSTEM32\35.scr C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно 2. 20.06.2009 15:18:32 C:\DOCUMENTS AND SETTINGS\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4HUVKLIJ\x[1] C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 20 июня, 2009 Share Опубликовано 20 июня, 2009 (изменено) Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". [/CODE] [code]begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\trafinspag.exe',''); QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr',''); QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE',''); SetServiceStart('RemoteRegistry', 4); BC_ImportALL; ExecuteSysClean; BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end. После перезагрузки, выполнить скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". [/CODE] [code]begin CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip'); end. Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи. Изменено 22 июня, 2009 пользователем wise-wistful добавил ссылку, что значит выполнпить скрипт в АВЗ Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 21 июня, 2009 Share Опубликовано 21 июня, 2009 Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
ворчун 0 Опубликовано 21 июня, 2009 Автор Share Опубликовано 21 июня, 2009 (изменено) Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Спасибо за то, что помогаете , вот отчёты Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине? begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\trafinspag.exe',''); QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr',''); QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE',''); SetServiceStart('RemoteRegistry', 4); BC_ImportALL; ExecuteSysClean; BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end. После перезагрузки, выполнить скрипт begin CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip'); end. Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи. большое спасибо за содействие, АйПи действительно знаком..... info.txt log.txt Изменено 22 июня, 2009 пользователем ворчун Цитата Ссылка на сообщение Поделиться на другие сайты
ворчун 0 Опубликовано 22 июня, 2009 Автор Share Опубликовано 22 июня, 2009 Уважаемые Архимеды , Пифагоры и прочие Великие мастера по удалению вирусов и червяков, что мне делать дальше.....логи и отчёты были выложены в предыдущих сообщениях. Жду с нетерпением дальнейших указаний! Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 477 Опубликовано 22 июня, 2009 Share Опубликовано 22 июня, 2009 Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
ворчун 0 Опубликовано 22 июня, 2009 Автор Share Опубликовано 22 июня, 2009 Загрузите GMER по одной из указанных ссылокGmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. всё сделал GMER.log Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 22 июня, 2009 Share Опубликовано 22 июня, 2009 (изменено) Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Удалите симантек, у вас же касперский стоит. Защиту нортона надо быдумаю было на время лечения выключить. В AVZ выполните скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SetAVZGuardStatus(true); QuarantineFile('C:\RECYCLER\NPROTECT\00011317.sys ',''); QuarantineFile('C:\RECYCLER\NPROTECT\00011279.sys ',''); QuarantineFile('C:\RECYCLER\NPROTECT\00012596.kdl',''); RebootWindows(true); end. После перезагрузки, выполнить скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new2.zip'); end. Отправить карантин в вирлаб. newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Сюда результат анализа запостить. Если знаете что у вас за файлы там забэкаплены - еще лучше ). Изменено 22 июня, 2009 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
ворчун 0 Опубликовано 22 июня, 2009 Автор Share Опубликовано 22 июня, 2009 Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения Цитата Ссылка на сообщение Поделиться на другие сайты
DaTa 7 Опубликовано 22 июня, 2009 Share Опубликовано 22 июня, 2009 я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения Отправте письмо на newvirus@kaslersky.com но перед отправкой незабудьте прикрепить карантин созданый при помощи антивирусной утилиты AVZ. Также в тее письма укажите пароль к архиву карантина(по умолчанию пароль: virus). Цитата Ссылка на сообщение Поделиться на другие сайты
ворчун 0 Опубликовано 22 июня, 2009 Автор Share Опубликовано 22 июня, 2009 1. первые скрипты выполнил, получился не архив а папка, но она не отправляется на вирлаб 2. что такое симантек? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.