Win32/Boberog.D

This topic has 17 ответов, 2 участника, and was last updated 16 years, 2 months назад by Admin.

Просмотр 15 сообщений - с 1 по 15 (из 18 всего)

1 2 →

Автор

Сообщения
25 февраля, 2009 в 9:49 дп #16333
ovmiev
Participant
- Темы:1
- Сообщений:11
У меня такая проблема, вирус Win32/Boberog.D червь создает файл C:windowssystem32driverssbctri.exe, грохает брандмауэр и закрывает доступ в шары к зараженному компу. Combofix восстанавливает брандмауэр и доступ в шары, но кирилица в командной строке отображается как какие -то иероглифы и перестают работать батники, где есть русские буквы, мождно как то это исправить, или есть другой способ лечения последствий этого червя?
27 февраля, 2009 в 2:33 пп #22248
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Скиньте мне ваш Combofix лог, или вы хотите вылечить ещё один компьтер без использования Combofix ?
2 марта, 2009 в 8:41 дп #22249
ovmiev
Participant
- Темы:1
- Сообщений:11
Да, хотелось бы восстановить доступ в шары без использования combofix
3 марта, 2009 в 4:44 дп #22250
Admin
Keymaster
- Темы:40
- Сообщений:5676
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.
3 марта, 2009 в 2:53 пп #22251
ovmiev
Participant
- Темы:1
- Сообщений:11
info
3 марта, 2009 в 2:53 пп #22252
ovmiev
Participant
- Темы:1
- Сообщений:11
log
5 марта, 2009 в 3:41 пп #22253
Admin
Keymaster
- Темы:40
- Сообщений:5676
Судя по логу диск F заражён autorun.inf вирусом.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.
```
:Processes

explorer.exe



:services

Service Controler



:reg

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ab6d9d25-f414-11dd-a433-0010c6af4a3a}]



:files

C:WINDOWSsystem32driversSbCtri.exe



:Commands

[emptytemp]

[start explorer]

[Reboot]
```
Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
6 марта, 2009 в 7:53 дп #22254
ovmiev
Participant
- Темы:1
- Сообщений:11
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service Service Controler stopped successfully.
Service Service Controler deleted successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ab6d9d25-f414-11dd-a433-0010c6af4a3a}\ deleted successfully.
========== FILES ==========
File/Folder C:WINDOWSsystem32driversSbCtri.exe not found.
========== COMMANDS ==========
File delete failed. C:DOCUME~11E86~1LOCALS~1TempRarSFX11TOTALCMD.EXE scheduled to be deleted on reboot.
File delete failed. C:DOCUME~11E86~1LOCALS~1Temp~DF473C.tmp scheduled to be deleted on reboot.
File delete failed. C:DOCUME~11E86~1LOCALS~1Temp~DF8791.tmp scheduled to be deleted on reboot.
File delete failed. C:DOCUME~11E86~1LOCALS~1Temp~ROMFN_00000858 scheduled to be deleted on reboot.
User’s Temp folder emptied.
User’s Temporary Internet Files folder emptied.
User’s Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer — Version 1.0.8.0 log created on 03062009_104722

Files moved on Reboot…
C:DOCUME~11E86~1LOCALS~1TempRarSFX11TOTALCMD.EXE moved successfully.
C:DOCUME~11E86~1LOCALS~1Temp~DF473C.tmp moved successfully.
C:DOCUME~11E86~1LOCALS~1Temp~DF8791.tmp moved successfully.
File C:DOCUME~11E86~1LOCALS~1Temp~ROMFN_00000858 not found!
File move failed. C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5index.dat scheduled to be moved on reboot.
7 марта, 2009 в 4:39 пп #22255
Admin
Keymaster
- Темы:40
- Сообщений:5676
Лог выглядит нормально, какова ситуация с вашей проблемой ?
10 марта, 2009 в 6:30 дп #22256
ovmiev
Participant
- Темы:1
- Сообщений:11
Вирус удален, но брандмауэр не работает, и доступа к шарам нет.
12 марта, 2009 в 3:17 пп #22257
Admin
Keymaster
- Темы:40
- Сообщений:5676
но брандмауэр не работает, и доступа к шарам нет.

Здесь можно подробнее, что происходит при включении брандмаура и попытке расшарить папку ?
13 марта, 2009 в 6:13 дп #22258
ovmiev
Participant
- Темы:1
- Сообщений:11
Сразу после заражения, при попытке открыть брандмауэр пишет что служба отключена. Включаю службу брандмауэра, открывается окно брандмауэра, но выбор включеня или выключения неактивен. Папки расшариваются без проблем, но при попытке зайти в эту шару выдается сообщение нет доступа, возможно у вас нет прав на использование этого сетевого ресурса. Combofix восстанавливает брандмауэр, потом я в ручную прописываю в локальной политике безопасности — назначение прав пользователей — доступ к компьютеру по сети пользователей, и все работает. Но Combofix мне не подходит, после него перестают работать некоторые приложения.
15 марта, 2009 в 3:21 пп #22259
Admin
Keymaster
- Темы:40
- Сообщений:5676
Судя по всему Combofix восстанавливает несколько ключей в реестре, который были удалены/модифицированые трояном.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог. Его содержимое вставьте в ваш ответ.

потом я в ручную прописываю в локальной политике безопасности — назначение прав пользователей — доступ к компьютеру по сети пользователей,

Это вы пробовали повторить ?
15 марта, 2009 в 3:52 пп #22260
ovmiev
Participant
- Темы:1
- Сообщений:11
@Valeri wrote:

Судя по всему Combofix восстанавливает несколько ключей в реестре, который были удалены/модифицированые трояном.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог. Его содержимое вставьте в ваш ответ.

потом я в ручную прописываю в локальной политике безопасности — назначение прав пользователей — доступ к компьютеру по сети пользователей,

Это вы пробовали повторить ?

Да, без предварительного лечения Combofix не помогает, а в windows xp home, вообще нет назначения прав пользователей, там никак не удается исправить эту ситуацию.
16 марта, 2009 в 8:00 дп #22261
ovmiev
Participant
- Темы:1
- Сообщений:11
Проверил Malwarebytes’ Anti-Malware, лог приложил.
Автор

Сообщения

Просмотр 15 сообщений - с 1 по 15 (из 18 всего)

1 2 →

Для ответа в этой теме необходимо авторизоваться.

Win32/Boberog.D

Добро пожаловать

Поиск

Последние темы

СПАЙВАРЕ РУ

Нужна помощь?

Ссылки