Показано с 1 по 14 из 14.

Новый Вирус? Win32:Trojan-gen. {Other} или DLOADER.Trojan (заявка № 10570)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    62
    Вес репутации
    62

    Exclamation Новый Вирус? Win32:Trojan-gen. {Other} или DLOADER.Trojan

    Началось давно.
    1. Пропал QIP... Просто пропало часть файлов и не устанавливалось никак... Уж не знаю связанно ли это как то с основной проблемой:

    2. Каждые 5 минут срабатывает Аваст и пишет: Заражен C:\WINDOWS\system32\drivers\flo_drv2.sys вирусом Win32:Trojan-gen. {Other}. Проверка этого файла доктором Вебом усложняется тем, что Аваст постоянно его стирает. Ага появился:

    Размер файла: 2868 байт
    flo_drv2.sys - OK

    Но! в этой папке точно есть вот это:

    Размер файла:
    9908 байт
    _svchost.exe packed by MEW
    В файле >_svchost.exe возможно обнаружен вирус DLOADER.Trojan

    мне кажется именно он генерит вирус в этот ФЛО-ДРВ2.СИС....

    Как положено, я сделал проверку Куритом (чисто), затем авздом, который таки нашел проблемку в
    _svchost.exe

    СПАСИБО ЗА ПОМОЩЬ

    PS: Показалось мне или нет, но когда я запустил первую проверку AVZ, вернулся... а AVZ нету... Я запустил еще раз...Все получилось...
    Последний раз редактировалось drongo; 23.06.2007 в 16:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Сканировать с cureit в безопасном режиме, тогда и аваст мешать не будет.
    Скачать последнею версию AVZ и обновить её базы, лишь только потом делать логи.Эти удалить.

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    62
    Вес репутации
    62
    Извините за ошибку, возможно я нечайно из другой папки запустил AVZ, щас все переделаю.

    (Но CureIt я запускал в безопасном)

    Пошел работать над ошибками.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    http://z-oleg.com/- в верхнем углу справа: данные по последней версии, а старыми версиями зачем пользоваться ?

  6. #5
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    62
    Вес репутации
    62
    та не... яж новорю неиз той папки пусканул, видимо я сгоряча запустил старую версию хотя новая тоже была.

    Но во этот раз я все сделал чотко:
    Скачал новый AVZ, обновил базы - чтобы точно было все новым:
    Ну а затем в БЕЗОПАСНОМ РЕЖИМЕ прокурил (на всякий случай с логом).
    Затем без приложений выполнил скрипт, затеи перегруз , и еще скрипт, ну и ХаДжек. - посмотрите плиз, не пинайте , если что
    Последний раз редактировалось orion; 18.05.2010 в 12:07.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\ORION и Тотошка\Application Data\Mra\Update\mrasearch.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\_svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\RLvackmd.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\flo_drv2.sys','');
     QuarantineFile('C:\WINDOWS\System32\rlvacumd.dll','');
     QuarantineFile('C:\WINDOWS\system32\msapp.exe','');
     QuarantineFile('C:\WINDOWS\system32\daoprint.dll','');
     QuarantineFile('C:\WINDOWS\system32\LVCOMSX.EXE','');
     QuarantineFile('C:\DOCUME~1\ORION~1\LOCALS~1\Temp\wschtm35.dll','');
     QuarantineFile('C:\WINDOWS\system32\fpopmd.dll','');
     DeleteFile('C:\WINDOWS\system32\drivers\_svchost.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    F2 - REG:system.ini: Shell=Explorer.exe %SystemRoot%\system32\drivers\_svchost.exe
    O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
    Последний раз редактировалось drongo; 23.06.2007 в 16:32. Причина: Парочку добавил на всякий случай

  8. #7
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    62
    Вес репутации
    62
    После выполнения скрипта MaXim'a, Hi Jack не находит ключа F2.

    Жду. Фиксить ли другие ключи?

    Карантин выслан

    ЗЫ Извините а логи как повторить? Прогнать ОБА скрипта АВЗ? (без Cure It?)
    Последний раз редактировалось orion; 23.06.2007 в 17:28. Причина: выслсл карантин

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Hi Jack не находит ключа F2
    Это хорошо.
    Фиксить ли другие ключи?
    Остальные, которые я назвал.
    ЗЫ Извините а логи как повторить?
    Так как делали в пятом посте. Без CureIt.

  10. #9
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    62
    Вес репутации
    62
    Готово.
    Последний раз редактировалось orion; 18.05.2010 в 12:07.

  11. #10
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    62
    Вес репутации
    62
    Люди! Скажите плиз, все ли у меня хорошо? Спасибо.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    вроде всё аналитики каспера посмотрели тоже, всё остальное чистое. Только вот этот файлик поискать : msapp.exe
    Вот папку писем из бата подчистить надо:
    C:\Program Files\The Bat!\Mail\ModernTalking\Attach\message.zip/{ZIP}/message.dat.pif >>>>> Email-Worm.Win32.Warezov.dn
    C:\Program Files\The Bat!\Mail\ModernTalking\Attach\postcard.zip/{ZIP}/postcard.exe >>>>> Trojan-Downloader.Win32.Small.edn
    C:\Program Files\The Bat!\Mail\ModernTalking\Attach\postcard1.zip/{ZIP}/postcard.exe >>>>> Email-Worm.Win32.Warezov.jq
    C:\Program Files\The Bat!\Mail\ModernTalking\Attach\Update-KB1875-x86.zip/{ZIP}/Update-KB1875-x86.exe >>>>> Email-Worm.Win32.Warezov.ls
    C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\February_price.zip/{ZIP}/betucrq.exe >>>>> Email-Worm.Win32.Bagle.fj
    C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\Margarett.zip/{ZIP}/FOTO_532.exe >>>>> Trojan-Downloader.Win32.Bagle.p
    C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\new_price.zip/{ZIP}/twevvum.exe >>>>> Email-Worm.Win32.Bagle.fj
    C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\pricelist.zip/{ZIP}/mepvvkkvp.exe >>>>> Email-Worm.Win32.Bagle.fj
    C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\price_lst.zip/{ZIP}/ygbpimx.exe >>>>> Email-Worm.Win32.Bagle.fj

    Также почистить временные файлы.

  13. #12
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    62
    Вес репутации
    62
    Делал согласно правилам (приложение2) - добавление файла в карантин по списку:

    Ошибка карантина файла "msapp.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\msapp.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\system32\msapp.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка



    и карантин - пуст
    Последний раз редактировалось orion; 24.06.2007 в 05:54. Причина: пречитал правила - добавил "приложение 2"

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    в безопасном режиме искать по инструкции :
    http://virusinfo.info/showthread.php?t=4567

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\flo_drv2.sys - Trojan-Proxy.Win32.Agent.mj (DrWEB: Trojan.Proxy.2154)
      2. c:\\windows\\system32\\drivers\\_svchost.exe - Trojan-Proxy.Win32.Agent.mj (DrWEB: Trojan.Proxy.2975)


  • Уважаемый(ая) orion, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost возможно DLOADER.Trojan
      От UnGod в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.02.2011, 18:39
    2. Trojan.Dloader/WinLock(номер для смс 4460)
      От Razie1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2010, 01:22
    3. DLOADER.Trojan
      От golovin в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 06.07.2009, 20:41
    4. Ответов: 5
      Последнее сообщение: 06.06.2009, 22:25
    5. Подозрение на Trojan.Dloader
      От Rogoff в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.07.2007, 07:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00022 seconds with 17 queries