ворчун Опубликовано 19 июня, 2009 Опубликовано 19 июня, 2009 Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать?
ворчун Опубликовано 20 июня, 2009 Автор Опубликовано 20 июня, 2009 Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать? сделал логи........ hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip
akoK Опубликовано 20 июня, 2009 Опубликовано 20 июня, 2009 (изменено) Дайте путь к файлу на который "ругается" антивирус. Изменено 20 июня, 2009 пользователем akoK
ворчун Опубликовано 20 июня, 2009 Автор Опубликовано 20 июня, 2009 Дайте путь к файлу на который "ругается" антивирус. 1. 20.06.2009 15:18:12 C:\WINDOWS\SYSTEM32\35.scr C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно 2. 20.06.2009 15:18:32 C:\DOCUMENTS AND SETTINGS\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4HUVKLIJ\x[1] C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно
миднайт Опубликовано 20 июня, 2009 Опубликовано 20 июня, 2009 (изменено) Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". [/CODE] [code]begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\trafinspag.exe',''); QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr',''); QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE',''); SetServiceStart('RemoteRegistry', 4); BC_ImportALL; ExecuteSysClean; BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end. После перезагрузки, выполнить скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". [/CODE] [code]begin CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip'); end. Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи. Изменено 22 июня, 2009 пользователем wise-wistful добавил ссылку, что значит выполнпить скрипт в АВЗ
akoK Опубликовано 21 июня, 2009 Опубликовано 21 июня, 2009 Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
ворчун Опубликовано 21 июня, 2009 Автор Опубликовано 21 июня, 2009 (изменено) Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Спасибо за то, что помогаете , вот отчёты Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине? begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\trafinspag.exe',''); QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr',''); QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE',''); SetServiceStart('RemoteRegistry', 4); BC_ImportALL; ExecuteSysClean; BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end. После перезагрузки, выполнить скрипт begin CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip'); end. Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи. большое спасибо за содействие, АйПи действительно знаком..... info.txt log.txt Изменено 22 июня, 2009 пользователем ворчун
ворчун Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 Уважаемые Архимеды , Пифагоры и прочие Великие мастера по удалению вирусов и червяков, что мне делать дальше.....логи и отчёты были выложены в предыдущих сообщениях. Жду с нетерпением дальнейших указаний!
thyrex Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
ворчун Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 Загрузите GMER по одной из указанных ссылокGmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. всё сделал GMER.log
миднайт Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 (изменено) Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Удалите симантек, у вас же касперский стоит. Защиту нортона надо быдумаю было на время лечения выключить. В AVZ выполните скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SetAVZGuardStatus(true); QuarantineFile('C:\RECYCLER\NPROTECT\00011317.sys ',''); QuarantineFile('C:\RECYCLER\NPROTECT\00011279.sys ',''); QuarantineFile('C:\RECYCLER\NPROTECT\00012596.kdl',''); RebootWindows(true); end. После перезагрузки, выполнить скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new2.zip'); end. Отправить карантин в вирлаб. newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Сюда результат анализа запостить. Если знаете что у вас за файлы там забэкаплены - еще лучше ). Изменено 22 июня, 2009 пользователем миднайт
ворчун Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения
DaTa Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения Отправте письмо на newvirus@kaslersky.com но перед отправкой незабудьте прикрепить карантин созданый при помощи антивирусной утилиты AVZ. Также в тее письма укажите пароль к архиву карантина(по умолчанию пароль: virus).
ворчун Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 1. первые скрипты выполнил, получился не архив а папка, но она не отправляется на вирлаб 2. что такое симантек?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти