Новини
Форум
Актуално
сървърХванах Net-Bot.exe вируса и незнам как да го изтря, засега някои неща които копирам на харда, после не мога да ги изтря, друго не съм забелязъл какво прави. Ако някой знае как се маха нека каже.
Хванах Net-Bot.exe вируса и незнам как да го изтря, засега някои неща които копирам на харда, после не мога да ги изтря, друго не съм забелязъл какво прави. Ако някой знае как се маха нека каже.
Аз ти препоръчвам да си сложиш някояантивирусна програма, например Panda Titanium.Много е добра и поддържа български език ако не си много на ти с английския []
Успех[]
пробвах с panda titanium нищо не става , някой да има някакви идеи.
пробвах с panda titanium нищо не става , някой да има някакви идеи.
Ето ти малко инфо, няма начин за автоматично махане.
Ако прочетеш и разбереш долното, може и сам да се справиш.
Успех
Day together!
I am system administrator and already on some our computers this NeT BoT.exe had at present found. BSI (German Federal Office for security in the information technology) and H+BEDV (manufacturer of AntiVir) ignored my enamels, in which I referred to this parasit. Here now all information, which I collected so far:
File is under %System%\NeT BoT.exe
Whereby the %System% variable i.d.R. C:\Windows\System32 with WinXP is.
the following entries in the Registry were provided:
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\Run ]
"system32"="NeT-BoT.exe"
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\RunServices ]
"system32"="NeT-BoT.exe"
[ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services sys32 ]
"ImagePath" = hex(2):22,00,43,00,#225;,00,5c,00,57,00,49,00,#234;,00,
#234;, 00, 54, 00, 5c, 00, 73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c
, 00, #234;, 00, 65, 00, 54, 00, 2d, 00,42,00,6f,00,54,00,#232;,00,65,00,78,00,65,00,22,00
, 20, 00, 2d, 00, 73, 00, 65, 00, 72,00,76,00,69,00,63,00,65,00,00,00
[ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services sys32 ]
"ImagePath" = hex(2):22,00,43,00,#225;,00,5c,00,57,00,49,00,#234;,00,
#234;, 00, 54, 00, 5c, 00, 73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c
, 00, #234;, 00, 65, 00, 54, 00, 2d, 00,42,00,6f,00,54,00,#232;,00,65,00,78,00,65,00,22,00
, 20, 00, 2d, 00, 73, 00, 65, 00, 72,00,76,00,69,00,63,00,65,00,00,00
[ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C#202;E31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU ]
"000"="net-bot.exe"
the following InterNet sides are blocked by the "hosts" file:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
So far I found it only on WinXP bzw.Win2000 systems.
My assumption is that it uses a similar safety gap as the Sasser worm, thus absolutely Windows update accomplish. A Firewall should offer additional security. Also it was remarkable that frequently after removing with a Virenscann a variant of the Nachi Wurms was found. In addition I assume due to of neighbouring Registry entries that a system service name belongs "gmaispc" to which offers probably Trojan-he-similar functions.
To the distance:
Me up to now no virus scanner and/or anti- Spyware software is well-known, which finds this parasit. Since which I in the secured mode, which quarantaenisiert NeT BoT.exe, which removed above Registry entries and which restored "hosts" file, have I again peace.
Зареждаш DOS oт системна дискета, след това пускаш F-prot ( за DOS ) с предварително ъпдеитвани дефиниции. Ако дяла ти е NTFS ще трябва преди да стартираш F-Prot-a, да пуснеш NTFSDOS Pro.
F-prot не винаги лови
Ето на какво се натъкнах днес.
Процес sysconfig.exe, който се е набутал в Run и в RunServices под името Microsoft Updates. Exe-то, което реално го няма, е кодирано в Prefetch директорията на Windows. Нито антивирусна, нито firewall помагат. Само генерираш яко трафик в двете посоки и не знаеш защо. С набито око и познания се оправят нещата. Tool за автоматично махане няма
F-prot под DOS няма да те оправи в този случай
Gadget , това дето си ми го пуснал, не ми е много ясно, какво да ги правя тези регистри, какви стойности да им дам, моля дай някакви пояснения по въпроса. С ф-прот не се чисти това чудо.
Чистенето е сравнително лесно.
Първо, влизаш в Registry, включваш търсене и пишеш Net-bot,
където се появи го трий,
основно от HKLM/software/microsoft/windows/current version/run ,
runonce, runcervices
трябва да го има в някоя от тези директории, или HKCU/software/microsoft/windows/current version/run , runonce, runcervices, след като го махнеш от там не стартирай IE, а пусни CWShredder, тегли се от http://dacarfiol.hit.bg/CWShredder.exe , и той ще премахне голяма част от мизериите. Хубаво е след това да стартираш HijackThis, http://dacarfiol.hit.bg/HijackThis.exe и да махнеш всички BHO без Акробат рийдър, това вече окончателно трябва да те изчисти, а за финал изтрий Net-Bot.exe oт6 системата и рестартирай. За финал, Avast antivirus, http://avast.com го лови тоя гад и го маха
Късмет
Отговор с цитат