-
Junior Member
- Вес репутации
- 62
Новый Вирус? Win32:Trojan-gen. {Other} или DLOADER.Trojan
Началось давно.
1. Пропал QIP... Просто пропало часть файлов и не устанавливалось никак... Уж не знаю связанно ли это как то с основной проблемой:
2. Каждые 5 минут срабатывает Аваст и пишет: Заражен C:\WINDOWS\system32\drivers\flo_drv2.sys вирусом Win32:Trojan-gen. {Other}. Проверка этого файла доктором Вебом усложняется тем, что Аваст постоянно его стирает. Ага появился:
Размер файла: 2868 байт
flo_drv2.sys - OK
Но! в этой папке точно есть вот это:
Размер файла: 9908 байт
_svchost.exe packed by MEW
В файле >_svchost.exe возможно обнаружен вирус DLOADER.Trojan
мне кажется именно он генерит вирус в этот ФЛО-ДРВ2.СИС....
Как положено, я сделал проверку Куритом (чисто), затем авздом, который таки нашел проблемку в _svchost.exe
СПАСИБО ЗА ПОМОЩЬ
PS: Показалось мне или нет, но когда я запустил первую проверку AVZ, вернулся... а AVZ нету... Я запустил еще раз...Все получилось...
Последний раз редактировалось drongo; 23.06.2007 в 16:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сканировать с cureit в безопасном режиме, тогда и аваст мешать не будет.
Скачать последнею версию AVZ и обновить её базы, лишь только потом делать логи.Эти удалить.
-
-
Junior Member
- Вес репутации
- 62
Извините за ошибку, возможно я нечайно из другой папки запустил AVZ, щас все переделаю.
(Но CureIt я запускал в безопасном)
Пошел работать над ошибками.
-
http://z-oleg.com/- в верхнем углу справа: данные по последней версии, а старыми версиями зачем пользоваться ?
-
-
Junior Member
- Вес репутации
- 62
та не... яж новорю неиз той папки пусканул, видимо я сгоряча запустил старую версию хотя новая тоже была.
Но во этот раз я все сделал чотко:
Скачал новый AVZ, обновил базы - чтобы точно было все новым:
Ну а затем в БЕЗОПАСНОМ РЕЖИМЕ прокурил (на всякий случай с логом).
Затем без приложений выполнил скрипт, затеи перегруз , и еще скрипт, ну и ХаДжек. - посмотрите плиз, не пинайте , если что
Последний раз редактировалось orion; 18.05.2010 в 12:07.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\ORION и Тотошка\Application Data\Mra\Update\mrasearch.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\RLvackmd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\flo_drv2.sys','');
QuarantineFile('C:\WINDOWS\System32\rlvacumd.dll','');
QuarantineFile('C:\WINDOWS\system32\msapp.exe','');
QuarantineFile('C:\WINDOWS\system32\daoprint.dll','');
QuarantineFile('C:\WINDOWS\system32\LVCOMSX.EXE','');
QuarantineFile('C:\DOCUME~1\ORION~1\LOCALS~1\Temp\wschtm35.dll','');
QuarantineFile('C:\WINDOWS\system32\fpopmd.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\_svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe %SystemRoot%\system32\drivers\_svchost.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
Последний раз редактировалось drongo; 23.06.2007 в 16:32.
Причина: Парочку добавил на всякий случай
-
-
Junior Member
- Вес репутации
- 62
После выполнения скрипта MaXim'a, Hi Jack не находит ключа F2.
Жду. Фиксить ли другие ключи?
Карантин выслан
ЗЫ Извините а логи как повторить? Прогнать ОБА скрипта АВЗ? (без Cure It?)
Последний раз редактировалось orion; 23.06.2007 в 17:28.
Причина: выслсл карантин
-
Hi Jack не находит ключа F2
Это хорошо.
Остальные, которые я назвал.
ЗЫ Извините а логи как повторить?
Так как делали в пятом посте. Без CureIt.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось orion; 18.05.2010 в 12:07.
-
Junior Member
- Вес репутации
- 62
Люди! Скажите плиз, все ли у меня хорошо? Спасибо.
-
вроде всё аналитики каспера посмотрели тоже, всё остальное чистое. Только вот этот файлик поискать : msapp.exe
Вот папку писем из бата подчистить надо:
C:\Program Files\The Bat!\Mail\ModernTalking\Attach\message.zip/{ZIP}/message.dat.pif >>>>> Email-Worm.Win32.Warezov.dn
C:\Program Files\The Bat!\Mail\ModernTalking\Attach\postcard.zip/{ZIP}/postcard.exe >>>>> Trojan-Downloader.Win32.Small.edn
C:\Program Files\The Bat!\Mail\ModernTalking\Attach\postcard1.zip/{ZIP}/postcard.exe >>>>> Email-Worm.Win32.Warezov.jq
C:\Program Files\The Bat!\Mail\ModernTalking\Attach\Update-KB1875-x86.zip/{ZIP}/Update-KB1875-x86.exe >>>>> Email-Worm.Win32.Warezov.ls
C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\February_price.zip/{ZIP}/betucrq.exe >>>>> Email-Worm.Win32.Bagle.fj
C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\Margarett.zip/{ZIP}/FOTO_532.exe >>>>> Trojan-Downloader.Win32.Bagle.p
C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\new_price.zip/{ZIP}/twevvum.exe >>>>> Email-Worm.Win32.Bagle.fj
C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\pricelist.zip/{ZIP}/mepvvkkvp.exe >>>>> Email-Worm.Win32.Bagle.fj
C:\Program Files\The Bat!\Mail\ТОТОШКА\Attach\price_lst.zip/{ZIP}/ygbpimx.exe >>>>> Email-Worm.Win32.Bagle.fj
Также почистить временные файлы.
-
-
Junior Member
- Вес репутации
- 62
Делал согласно правилам (приложение2) - добавление файла в карантин по списку:
Ошибка карантина файла "msapp.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\msapp.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\msapp.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
и карантин - пуст
Последний раз редактировалось orion; 24.06.2007 в 05:54.
Причина: пречитал правила - добавил "приложение 2"
-
в безопасном режиме искать по инструкции :
http://virusinfo.info/showthread.php?t=4567
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\flo_drv2.sys - Trojan-Proxy.Win32.Agent.mj (DrWEB: Trojan.Proxy.2154)
- c:\\windows\\system32\\drivers\\_svchost.exe - Trojan-Proxy.Win32.Agent.mj (DrWEB: Trojan.Proxy.2975)
-