Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

W32.ircbot

Hajasz

Przez Hajasz
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Hajasz

Hajasz

Opublikowano
Opublikowano

Podczas normalnej pracy komputera (był tylko uruchomiony) nic poza tym nagle NIS 2013 zaczął wariować czego efektem

w końcu był komunikat, że zagrożenie zostało wyeliminowane i prośba o restart komputera.

Po ponownym uruchomieniu sprawdziłem co było przyczyną szaleństwa nortona i w kwarantannie wyskoczył

właśnie W32.ircbot ale wszystkie pliki z tym związane miały status usunięte.

Aby mieć pewność, że wszystko jest dobrze proszę o przejrzenie logów z OTL czy aby coś gdzieś jeszcze się nie schowało.

 

Za wszelkie info w tej sprawie dziękuję.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W OTL brak oznak infekcji. W skład obowiązkowych logów wchodzi GMER. Przed uruchomieniem GMER należy wyrzucić emulatory napędów wirtualnych i sterownik SPTD:

 

DRV - [2009-04-15 21:40:36 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

Po ponownym uruchomieniu sprawdziłem co było przyczyną szaleństwa nortona i w kwarantannie wyskoczył

właśnie W32.ircbot ale wszystkie pliki z tym związane miały status usunięte.

 

Podaj w czym, jakie ścieżki dostępu. Sama nazwa nie wystarczy, by ocenić zjawisko.

 

 

 

.

Odnośnik do komentarza
Hajasz

Hajasz

Opublikowano
  • Autor
Opublikowano

Pełna ścieżka: d:\system volume information\_restore{2e42b6db-4d1d-4aea-b484-bd5a9d0e756b}\rp44\a0009723.exe

Zagrożenie: W32.IRCbot

____________________________

____________________________

Na komputerach od Niedostępny

Ostatnio używany 2012-12-18 na 00:09:38

Element grupy Autostart Nie

Uruchomiono Nie

____________________________

____________________________

Nieznany

Liczba użytkowników Norton Community, którzy używali tego pliku: Nieznana

____________________________

Nieznany

Wersja tego pliku jest aktualnie nieznana.

____________________________

Wysoki

Zagrożenie stwarzane przez ten plik jest wysokie.

____________________________

Szczegóły zagrożenia

Typ zagrożenia: Wirus. Programy infekujące inne programy, pliki lub obszary komputera poprzez wstawienie się lub dołączenie się do danego nośnika.

____________________________

 

____________________________

Działania dotyczące pliku

Plik: C:\Program Files\mIRC\IRC Bot\Anjing_Malingsia.sys

Usunięto

Plik: C:\Program Files\mIRC\IRC Bot\Asshole.sys

Usunięto

Plik: C:\Program Files\mIRC\IRC Bot\Channel_Babi.sys

Usunięto

Plik: C:\Program Files\mIRC\IRC Bot\[Filtr wulgaryzmów].sys

Usunięto

Plik: C:\Program Files\mIRC\IRC Bot\Nama_Anjing.sys

Usunięto

Plik: C:\Program Files\mIRC\IRC Bot\Nama_Babi.sys

Usunięto

Plik: C:\Program Files\mIRC\IRC Bot\perampok_budaya.sys

Usunięto

Plik: C:\Program Files\mIRC\IRC Bot\Stupid.sys

Usunięto

Plik: d:\system volume information\_restore{2e42b6db-4d1d-4aea-b484-bd5a9d0e756b}\rp44\a0009723.exe

Usunięto

____________________________

Działania dotyczące rejestru

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List->1900:UDP

Usunięto

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List->2869:TCP

Usunięto

Zmiana w rejestrze: HKEY_USERS\S-1-5-21-507921405-746137067-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->UacDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-21-507921405-746137067-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess->Start:2

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->AntiVirusDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->FirewallDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->UpdatesDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa->restrictanonymous:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa->AUOptions:3

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-21-507921405-746137067-1606980848-1003\Software\Microsoft\Security Center->FirewallDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-19\Software\Microsoft\Security Center->FirewallDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-20\Software\Microsoft\Security Center->FirewallDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\.DEFAULT\Software\Microsoft\Security Center->FirewallDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-21-507921405-746137067-1606980848-1003\Software\Microsoft\Security Center->UpdatesDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-19\Software\Microsoft\Security Center->UpdatesDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-20\Software\Microsoft\Security Center->UpdatesDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\.DEFAULT\Software\Microsoft\Security Center->UpdatesDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-21-507921405-746137067-1606980848-1003\Software\Microsoft\Security Center->AntiVirusDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-19\Software\Microsoft\Security Center->AntiVirusDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-20\Software\Microsoft\Security Center->AntiVirusDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\.DEFAULT\Software\Microsoft\Security Center->AntiVirusDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->AntiVirusOverride:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->FirewallOverride:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-21-507921405-746137067-1606980848-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc->AntiVirusDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->FirewallDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->UpdatesDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->AntiVirusOverride:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->FirewallOverride:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->FirstRunDisabled:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->UacDisableNotify:0

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\->UncheckedValue:1

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess->Type:32

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc->Type:32

Naprawiono

Zmiana w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv->Type:32

Naprawiono

Śr. Użycie zasobów:NieznanyŚr. Wykorzystanie procesora:NieznanyŚr. Wykorzystanie pamięci:Nieznany

____________________________

Podpis cyfrowy pliku - SHA:

84347cd56d8c3aae6749eab7838669488e1a2ccf7580f4a992d984b0ac5dae89

____________________________

Podpis cyfrowy pliku - MD5:

3611e63b92a7927a43f5123407925890

____________________________

 

To z działania Nortona.

Log z Gmer gmer.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mówiłam, że sterownik SPTD należy usunąć przed uruchomieniem GMER (KLIK). Ale zostaw to już. W logu nic podejrzanego. Czyli sumarycznie: w raportach nic nie widzę. To co znalazł Norton to rzeczywiście był robak z IRC. Na zakończenie wykonaj jeszcze te ogólne kroki:

 

1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...