Показано с 1 по 12 из 12.

Подозрение на Trojan.Dloader (заявка № 10851)

  1. #1
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37

    Thumbs up Подозрение на Trojan.Dloader

    Dr.Web выдает подозрение на Trojan.Dloader в папке временыых файлов Эксплорера (html-файл), сразу за этим выдает подозрение на Trojan.Dloader в папке временных файлов пользователя (exe-файл).

    Логи прилагаю
    Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\gejd9j3jr.dll','');
     DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll');
     DeleteFile(' c:\windows\system32\svchost.exe:ext.exe:$DATA');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    Добавлено через 4 минуты
    Пофиксить:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
    O2 - BHO: C:\WINDOWS\system32\gejd9j3jr.dll - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll
    O23 - Service: MicrosoftHelp - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE (file missing)
    O23 - Service: Performance Monitor Command Line Shell (Performance Monitor) - Unknown owner - C:\WINDOWS\perfmon.exe (file missing)
    Последний раз редактировалось Kuzz; 06.07.2007 в 11:16. Причина: Добавлено сообщение
    The worst foe lies within the self...

  4. #3
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    Карантин отправил.

    Файл сохранён как 070706_122825_virus_468dfd29b8101.zip
    Размер файла 57722
    MD5 472a2a7c72333be987151d367a267321

    строки пофиксил

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Присланные файлы:
    c:\windows\system32\svchost.exe:ext.exe:$DATA - Trojan.Win32.Obfuscated.gp
    C:\WINDOWS\system32\gejd9j3jr.dll - Trojan-Downloader.Win32.Small.ddx

    Rogoff, обновите базы AVZ и сделайте логи заново, для того, чтобы убедится что файлы удалены.
    Dr.Web, по идее, больше ругаться не должен.

  6. #5
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    обновил АВЗ, проверил, похоже что-то осталось
    Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     ClearQuarantine;
     DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\Program Files\Hijackthis\backups\backup-20070706-172628-401.dll');
     BC_DeleteSvc('MicrosoftHelp');
     BC_DeleteFile('C:\WINDOWS\system32\SVCH0ST.EXE');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пофиксите
    Код:
    O2 - BHO: (no name) - {20AD49A2-94F3-42bD-F434-2604812C897C} - (no file)
    повторите логи.

  8. #7
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    Странное дело, после выполнения скрипта, АВЗ снова находит вирусы. Может нужно под учетной записью с полными правами комп проверить? Потому что hijackthis ругается при сканировании...
    Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Ничего странного нет, если запускать AVZ под юзером с ограниченными правами, то драйвер его не загрузиться, стало быть AVZ не справиться
    "у нас все ходы записаны "
    Код:
     Ошибка загрузки драйвера - проверка прервана [C0000061]
    запускайте AVZ с админскими правами (Run As...) и тогда уже скрипты лечения запускать .

  10. #9
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    сделано
    Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Всё чисто.
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    Большое спасибо! Завтра постараюсь собрать файлы для базы.
    Последний раз редактировалось Rogoff; 13.07.2007 в 07:17.

  13. #12
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    37
    Закачал:

    Файл сохранён как 070713_063056_virusinfo_files_OP2_4696e3e026765.zi p
    Размер файла 847086
    MD5 9fa15b2774b997f0e3f93a5867278f28

    Смущает меня наличие красных записей в протоколе АВЗ в процессе выполнения скрипта по сбору файлов для базы. Или это нормально?

  • Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. svchost возможно DLOADER.Trojan
      От UnGod в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.02.2011, 18:39
    2. Trojan.Dloader/WinLock(номер для смс 4460)
      От Razie1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2010, 01:22
    3. DLOADER.Trojan
      От golovin в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 06.07.2009, 20:41
    4. Новый Вирус? Win32:Trojan-gen. {Other} или DLOADER.Trojan
      От orion в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:55
    5. DLOADER.Trojan или ложное срабатывание Веба?
      От ScratchyClaws в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 21.04.2007, 11:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00784 seconds with 22 queries