Подозрение на Trojan.Dloader

[Rogoff]

Dr.Web выдает подозрение на Trojan.Dloader в папке временыых файлов Эксплорера (html-файл), сразу за этим выдает подозрение на Trojan.Dloader в папке временных файлов пользователя (exe-файл).

Логи прилагаю

[Kuzz]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\gejd9j3jr.dll','');
 DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll');
 DeleteFile(' c:\windows\system32\svchost.exe:ext.exe:$DATA');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

Добавлено через 4 минуты
Пофиксить:

Код:

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: C:\WINDOWS\system32\gejd9j3jr.dll - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll
O23 - Service: MicrosoftHelp - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE (file missing)
O23 - Service: Performance Monitor Command Line Shell (Performance Monitor) - Unknown owner - C:\WINDOWS\perfmon.exe (file missing)

[Rogoff]

Карантин отправил.

Файл сохранён как 070706_122825_virus_468dfd29b8101.zip
Размер файла 57722
MD5 472a2a7c72333be987151d367a267321

строки пофиксил

[AndreyKa]

Присланные файлы:
c:\windows\system32\svchost.exe:ext.exe:$DATA - Trojan.Win32.Obfuscated.gp
C:\WINDOWS\system32\gejd9j3jr.dll - Trojan-Downloader.Win32.Small.ddx

Rogoff, обновите базы AVZ и сделайте логи заново, для того, чтобы убедится что файлы удалены.
Dr.Web, по идее, больше ругаться не должен.

[Rogoff]

обновил АВЗ, проверил, похоже что-то осталось

[Muzzle]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('C:\Program Files\Hijackthis\backups\backup-20070706-172628-401.dll');
 BC_DeleteSvc('MicrosoftHelp');
 BC_DeleteFile('C:\WINDOWS\system32\SVCH0ST.EXE');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пофиксите

Код:

O2 - BHO: (no name) - {20AD49A2-94F3-42bD-F434-2604812C897C} - (no file)

повторите логи.

[Rogoff]

Странное дело, после выполнения скрипта, АВЗ снова находит вирусы. Может нужно под учетной записью с полными правами комп проверить? Потому что hijackthis ругается при сканировании...

[drongo]

Ничего странного нет, если запускать AVZ под юзером с ограниченными правами, то драйвер его не загрузиться, стало быть AVZ не справиться
"у нас все ходы записаны "

Код:

 Ошибка загрузки драйвера - проверка прервана [C0000061]

запускайте AVZ с админскими правами (Run As...) и тогда уже скрипты лечения запускать .

[Rogoff]

сделано

[Muzzle]

Всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[Rogoff]

Большое спасибо! Завтра постараюсь собрать файлы для базы.

[Rogoff]

Закачал:

Файл сохранён как 070713_063056_virusinfo_files_OP2_4696e3e026765.zi p
Размер файла 847086
MD5 9fa15b2774b997f0e3f93a5867278f28

Смущает меня наличие красных записей в протоколе АВЗ в процессе выполнения скрипта по сбору файлов для базы. Или это нормально?