BackDoor IrcBot

przez **misio99bp** » 25 Lip 2010, 07:56

Witam Otóz skanowałem komputer i nadziałem sie na pewien pliczek o nazwie cmd.exe który jest zainfekowany Ircbotem i Różnymi trojanami których ESET nie może usunąć ponieważ nie było w nim takiej opcji. dołączam link z virustotal.com.

Kod: Zaznacz wszystko: http://www.virustotal.com/pl/analisis/946f0ab6b1342f2950dc16bee14ac2fb24c54fbc68b5180c3c6831dbe59aaced-1268831137

Bardzo Prosze o pomoc, slyszalem ze IrcBot jest groźny.

Jak zły dział przepraszam.

jak macie pisac zebym podał logi z combofixa hijackthis itp to powiedzcie jak i o co chodzi bo jestem w tym totalnie ZIELONY

przez **misio99bp** » 25 Lip 2010, 08:18

ok po jakimś czasie ESET go wykrył i usunoł, ale jak sie upewnic czy usunoł go w całości?

przez **mateo8898** » 25 Lip 2010, 09:04

Podaj logi z OTL i GMER

przez **misio99bp** » 25 Lip 2010, 09:36

OTL - http://wklej.eu/index.php?id=39ee8e4ee2
Extras - http://wklej.eu/index.php?id=3721be1745

GMER - http://wklej.eu/index.php?id=816b5cd66e

AHA W GMERZE przy końcu skanowania wyskoczyło okno z napisem system windows wykrył obecność działania rootkita czy coś takiego

przez **mateo8898** » 25 Lip 2010, 11:23

W tym przypadku użyj ComboFix i daj log z niego. Na czas skanu podłącz pamięci przenośne (pendrive, karta pamięci itp.)

przez **misio99bp** » 25 Lip 2010, 11:29

właśnie też myślałem ze to z pendrive i mp3 podłączyłem mp3 i myślałem ze proces wyskoczy EXPLORER.exe pisany z dużych liter ale to jednak inaczej dziala

LOG - http://wklej.eu/index.php?id=cfe91d4290

TYLKO nie wiem czemu combofix usunoł mi 2 pliki w tym msconfig do którego teraz nie mgoe wejść.

przez **mateo8898** » 25 Lip 2010, 12:11

Pobierz ten plik

http://www.speedyshare.com/files/23512059/pliki.zip i wypakuj do folderu c:\windows\System32

Usuń ręcznie plik:
C:\ssbtsr.dat

Wklej do notatnika:

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=- "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\ 73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\ 00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\ 6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\ 00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\ 57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"=- "IgfxTray"=- "HotKeysCmds"=- "Persistence"=- "SunJavaUpdateSched"=- "Adobe Reader Speed Launcher"=-

Plik

Zapisz jako

Ustaw rozszerzenie z TXT na Wszystkie pliki

zapisz pod nazwą FIX.REG

uruchom utworzony plik i potwierdź

Z podłączonymi pamięciami przenośnymi użyj Flash Disinfector

Poza tym więcej nic nie widać.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach

Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj tą poprawkę

http://download.microsoft.com/download/ ... 86-PLK.exe

Zainstaluj jakiegoś antywira.

przez **misio99bp** » 25 Lip 2010, 13:35

jest mały problem z przywracaniem, mój windows nie jest do końca xp można powiedzieć ze to jest vista windows 7 i xp w jednym(windows X - Treme) i gdy klikam prawym na mój komputer wybieram właściwości nie widzę tam przywracania systemu. (przywracanie systemu pobrało sie podczas skanowania combofixem ale nie mogę go odszukać)

gdy wrzuciłem pliki do system32 wyskoczył błąd ze istnieją stare pliki systemowe i ze to moze zaszkodzić systemowi kliknąłem ponów próbe i dalej wyskakiwało kliknięcie anuluj też nic nie dało. wyłączyłem to w menadzerze zadań.

LINKI do screenów (właściwości mego komputera)
http://img408.imageshack.us/img408/4990/screenwv.jpg

http://img709.imageshack.us/img709/1736/sdcscs.jpg

resztę zrobiłem jak należy msconfig działa flash disinfectora też używałem(wcześniej miałem problem z otworzeniem dysków lokalnych nie wiem co sie stało użylem flasha i działa tylko czasami znowu nie mogę wejść, może to też jakiś wirus.).

RAPORT - http://wklej.eu/index.php?id=3aa15183ca

BTW: co daje ta poprawka? po wszystkich wykonanych czynnościach, w trayu dostrzegłem to:
http://img843.imageshack.us/img843/218/scsc.jpg

szkoda mi było usuwać D:/program files/lineage2/system/fire.dll

przez **mateo8898** » 25 Lip 2010, 14:02

W takim razie pomiń punkt z przywracaniem systemu, pewnie ten wynalazek czegoś takiego nie posiada.

BTW: co daje ta poprawka? po wszystkich wykonanych czynnościach, w trayu dostrzegłem to:

Ona dotyczy funkcji autoodtwarzania i nie ma nic wspólnego z tym co na zdjęciu. Nie wiem skąd to się wzięło.

Usuń to co znalazł Malwarebytes, ten jeden plik możesz oszczędzić bo raczej jest czysty.

przez **misio99bp** » 25 Lip 2010, 14:10

Usuń to co znalazł Malwarebytes, ten jeden plik możesz oszczędzić bo raczej jest czysty.[/quote]

To Już Wszystko? jak moge zadbać o komputer tak aby w miare był czysty, chodzi mmi o dobrego antyvirusa który jest darmovy i dobry(ccleanerem itp bedę czyścił co tydzień)

usunełem całego L2 instalke zachowałem na wszelki wypadek ;p

Jeżeli To Wszystko To Bardzo Dziękuję Za Zaoferowaną Pomoc mimo to iż jestem w tych wirusowych sprawach ZIELONY ;] dostajesz pochwałę.
Pozdrawiam Misio99bp

yyy wydajność skakała od 5% do 80% a teraz od 1% do 30% gdy pisze posty ;]

a tak pozatym bardzo mi się podoba x - Treme fajny jest ;p napewno lepszy od visty czy windows 7.