Prawdopodobnie zainfekowany komp Backdoor.IRCBot

INSTALKI.pl - programy, gry, sterowniki

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.

Regulamin forum

1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź
 
GIJoe
  • GIJoe
  • Posty: 3
  • Dołączenie: 14 Kwi 2010, 13:18

Prawdopodobnie zainfekowany komp Backdoor.IRCBot

14 Kwi 2010, 13:43

Znalazłem na dysku katalog D:\Microsoft Office Enterprise 2007-> http://img52.imageshack.us/img52/7193/screenuf.jpg
w nim moje projekty z TMM (lol) oraz w katalogach typu 1000000b00002i zawirusowane pliki exe.
Niestety Nod32, który mam zainstalowany cześć wykrywa jako Backdoor.IRCBot a część nie wykrywa w ogóle (sprawdzałem na virustotal, wszystkie są zawirusowane trojanem Backdoor.IRCBot)

Teraz jest mi trudno stwierdzić czy to pozostałości z jakiejś infekcji którą kiedyś miałem czy wciąż wirus jest i działa, a ktoś przegląda moje pliki.

Logi:
Combofix -> http://www.wklej.eu/index.php?id=26f81469d6
http://www.wklej.eu/index.php?id=fa25f9b453
http://www.wklej.eu/index.php?id=5a1cfc68f3
http://www.wklej.eu/index.php?id=e025db48db
lub poprostu w pliku -> http://wyslijto.pl/plik/zurgtnne3w

HiJackThis-> http://www.wklej.eu/index.php?id=518a570455

Proszę o pomoc w sprawdzeniu logów i poradzeniu jakiegoś dobrego skanera online bądź antivirusa ew jakiś bootdisk, aby usunąć tego virusa. Gdyby trzeba było logów z innych programów to śmiało pisać postaram się uzupełnić je jak najszybciej.
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

14 Kwi 2010, 16:21

Niestety Nod32 który mam zainstalowany cześć wykrywa jako Backdoor.IRCBot a część nie wykrywa wogule (sprawdzalem na virustotal wszystkie są zawirusowane trojanem Backdoor.IRCBot)

W takim razie usuń te pliki ręcznie.

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod:
Files to delete:
c:\windows\system32\XDva332.sys

Drivers to delete:
XDva332
gupdate1c985ea3f086108

klikasz Execute -> Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Wklej do notatnika:
Kod:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kX Mixer"=-
"Adobe Reader Speed Launcher"=-
"nwiz"=-

Plik -> Zapisz jako -> Ustaw rozszerzenie z TXT na Wszystkie pliki -> zapisz pod nazwą FIX.REG -> uruchom utworzony plik i potwierdź

Następnie podaj logi z OTL
 
GIJoe
  • GIJoe
  • Posty: 3
  • Dołączenie: 14 Kwi 2010, 13:18

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

14 Kwi 2010, 19:16

avanger -> http://wyslijto.pl/plik/sfpuee3ux1

OTL -> http://wyslijto.pl/plik/hf95xtmj1i

Wcześniej usunąłem Combofixem XDva332 dlatego jest file not found

Jeszcze mnie martwi jedna sprawa Nod teraz się ożywil i ciągle wykrywa pliki w /System Volume Information/ -> http://img405.imageshack.us/img405/7366/noda.jpg
Włączałem i wyłączałem Przywracanie Systemu zresztą Combofix tez to robi ale mało to pomaga.
Ostatnio edytowany przez mateo8898, 14 Kwi 2010, 20:29, edytowano w sumie 1 raz
Powód: Poprawa pisowni
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

14 Kwi 2010, 20:18

Combofix nie wyłącza przywracania, tylko tworzy nowy punkt.

Uruchom OTL -> w oknie Custom Scans/Fixes wklej:
:OTL
SRV - File not found [Disabled | Stopped] -- -- (VMware NAT Service)
SRV - File not found [Disabled | Stopped] -- -- (gusvc)
[2009-07-03 19:20:48 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\gijoe\Application Data\Mozilla\Firefox\Profiles\jaw57l6u.default\searchplugins\daemon-search.xml
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found
@Alternate Data Stream - 88 bytes -> C:\WINDOWS\regedit.exe:SummaryInformation

:Files
C:\Documents and Settings\gijoe\DoctorWeb

:Commands
[emptytemp]

Klikasz Run Fix. Następnie:

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach -> Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) -> http://www.instalki.pl/programy/downloa ... _8_XP.html
 
GIJoe
  • GIJoe
  • Posty: 3
  • Dołączenie: 14 Kwi 2010, 13:18

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

14 Kwi 2010, 21:43

Zrobione a skana mbam juz robilem wczesniej http://wklej.eu/index.php?id=9e5bae1d01

Wielkie dzieki za pomoc.

Czy teraz na 99% pozbylem sie tego dziadostwa ?
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: Prawdopodobnie zainfekowany komp Backdoor.IRCBot

14 Kwi 2010, 21:52

Powinno być ok.
Wyślij odpowiedź
Switch to full style

Powered by phpBB © phpBB Group.

phpBB Mobile / SEO by Artodia.

Strona główna