TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Prawdopodobnie zainfekowany komp Backdoor.IRCBot

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.

Prawdopodobnie zainfekowany komp Backdoor.IRCBot

Postprzez GIJoe » 14 Kwi 2010, 13:43

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)


Znalazłem na dysku katalog D:\Microsoft Office Enterprise 2007-> http://img52.imageshack.us/img52/7193/screenuf.jpg
w nim moje projekty z TMM (lol) oraz w katalogach typu 1000000b00002i zawirusowane pliki exe.
Niestety Nod32, który mam zainstalowany cześć wykrywa jako Backdoor.IRCBot a część nie wykrywa w ogóle (sprawdzałem na virustotal, wszystkie są zawirusowane trojanem Backdoor.IRCBot)

Teraz jest mi trudno stwierdzić czy to pozostałości z jakiejś infekcji którą kiedyś miałem czy wciąż wirus jest i działa, a ktoś przegląda moje pliki.

Logi:
Combofix -> http://www.wklej.eu/index.php?id=26f81469d6
http://www.wklej.eu/index.php?id=fa25f9b453
http://www.wklej.eu/index.php?id=5a1cfc68f3
http://www.wklej.eu/index.php?id=e025db48db
lub poprostu w pliku -> http://wyslijto.pl/plik/zurgtnne3w

HiJackThis-> http://www.wklej.eu/index.php?id=518a570455

Proszę o pomoc w sprawdzeniu logów i poradzeniu jakiegoś dobrego skanera online bądź antivirusa ew jakiś bootdisk, aby usunąć tego virusa. Gdyby trzeba było logów z innych programów to śmiało pisać postaram się uzupełnić je jak najszybciej.
GIJoe
Forumowicz
Forumowicz
 
Posty: 3
Dołączenie: 14 Kwi 2010, 13:18

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

Postprzez mateo8898 » 14 Kwi 2010, 16:21

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3


Niestety Nod32 który mam zainstalowany cześć wykrywa jako Backdoor.IRCBot a część nie wykrywa wogule (sprawdzalem na virustotal wszystkie są zawirusowane trojanem Backdoor.IRCBot)

W takim razie usuń te pliki ręcznie.

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko
Files to delete:
c:\windows\system32\XDva332.sys

Drivers to delete:
XDva332
gupdate1c985ea3f086108

klikasz Execute -> Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Wklej do notatnika:
Kod: Zaznacz wszystko
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kX Mixer"=-
"Adobe Reader Speed Launcher"=-
"nwiz"=-

Plik -> Zapisz jako -> Ustaw rozszerzenie z TXT na Wszystkie pliki -> zapisz pod nazwą FIX.REG -> uruchom utworzony plik i potwierdź

Następnie podaj logi z OTL
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

Postprzez GIJoe » 14 Kwi 2010, 19:16

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)


avanger -> http://wyslijto.pl/plik/sfpuee3ux1

OTL -> http://wyslijto.pl/plik/hf95xtmj1i

Wcześniej usunąłem Combofixem XDva332 dlatego jest file not found

Jeszcze mnie martwi jedna sprawa Nod teraz się ożywil i ciągle wykrywa pliki w /System Volume Information/ -> http://img405.imageshack.us/img405/7366/noda.jpg
Włączałem i wyłączałem Przywracanie Systemu zresztą Combofix tez to robi ale mało to pomaga.
Ostatnio edytowany przez mateo8898, 14 Kwi 2010, 20:29, edytowano w sumie 1 raz
Powód: Poprawa pisowni
GIJoe
Forumowicz
Forumowicz
 
Posty: 3
Dołączenie: 14 Kwi 2010, 13:18

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

Postprzez mateo8898 » 14 Kwi 2010, 20:18

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3


Combofix nie wyłącza przywracania, tylko tworzy nowy punkt.

Uruchom OTL -> w oknie Custom Scans/Fixes wklej:
:OTL
SRV - File not found [Disabled | Stopped] -- -- (VMware NAT Service)
SRV - File not found [Disabled | Stopped] -- -- (gusvc)
[2009-07-03 19:20:48 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\gijoe\Application Data\Mozilla\Firefox\Profiles\jaw57l6u.default\searchplugins\daemon-search.xml
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found
@Alternate Data Stream - 88 bytes -> C:\WINDOWS\regedit.exe:SummaryInformation

:Files
C:\Documents and Settings\gijoe\DoctorWeb

:Commands
[emptytemp]

Klikasz Run Fix. Następnie:

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach -> Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) -> http://www.instalki.pl/programy/downloa ... _8_XP.html
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

Postprzez GIJoe » 14 Kwi 2010, 21:43

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)


Zrobione a skana mbam juz robilem wczesniej http://wklej.eu/index.php?id=9e5bae1d01

Wielkie dzieki za pomoc.

Czy teraz na 99% pozbylem sie tego dziadostwa ?
GIJoe
Forumowicz
Forumowicz
 
Posty: 3
Dołączenie: 14 Kwi 2010, 13:18

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

Postprzez mateo8898 » 14 Kwi 2010, 21:52

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3


Powinno być ok.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966


Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników