Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 51.

Компьютер заражен трояном Trojan-Downloader.Win32.Delf.dbo (заявка № 14594)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33

    Thumbs up Компьютер заражен трояном Trojan-Downloader.Win32.Delf.dbo

    Kaspersky AV 6.0 нашел в папке System32 зараженный вирусом Trojan-Downloader.Win32.Delf.dbo файл cscu.dll. Не может удалить его - пишет "Файл содержит троянскую программу Trojan-Downloader.Win32.Delf.dbo. Лечение невозможно: отсутствуют права на запись". Троян запускает дублирующий процесс avp.exe (в логах он может отсутствовать т.к. во время работы AVZ Касперский был отключен.

    Вот необходимые файлы

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Базы AVZ надо обновлять!!

    Выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('\SystemRoot\system32\drivers\cqigsjyg.dat','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdrv2.sys','');
     QuarantineFile('C:\WINDOWS\system32\cscu.dll','');
    DeleteFile('C:\WINDOWS\system32\cscu.dll');
    DelCLSID('33331111-1111-1111-1111-615111193427');
    DelCLSID('33331111-1111-1111-1111-611111193423');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.
    Последний раз редактировалось PavelA; 26.11.2007 в 11:33.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33
    спасибо, файл удален!

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Карантин загрузили?

    новые логи надо сделать. Посмотрим, что осталось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33
    еще: в автозагрузке есть неизвестный процесс: dumprep0 -k (%systemroot%\system32\dumprep0 -k;
    и процесс avp в кавычках
    Нужно ли что-то делать?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat','');
     DeleteFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от wheeller Посмотреть сообщение
    еще: в автозагрузке есть неизвестный процесс: dumprep0 -k (%systemroot%\system32\dumprep0 -k;
    и процесс avp в кавычках
    Нужно ли что-то делать?
    Первый - выдача дампа в случае возникновения ошибки.
    Второй - из-за длинной директории с пробелами в имени.

    Добавлено через 1 минуту

    Вот эту ерунду еще надо профиксить:
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    Последний раз редактировалось PavelA; 26.11.2007 в 12:25. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33
    выполняю в AVZ скрипт лечения/карантина и сбора информации для раздела... в процессе комп перезагружается.

    Добавлено через 52 секунды

    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    пофиксил
    Последний раз редактировалось wheeller; 26.11.2007 в 12:49. Причина: Добавлено

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Значит, пришла пора сделать вот это:http://virusinfo.info/showthread.php?t=10387
    Желательно в защищенном режиме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33
    Сделал все по ссылке http://virusinfo.info/showthread.php?t=10387 . Прикрепляю файлы.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполнте скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('c:\windows\system32\drivers\new_drv.sys','');
     DeleteFile('C:\WINDOWS\system32\cscu.dll');
     DelCLSID('59B77E0C-0EC9-4CB9-98C0-B018354DAF82');
     DeleteFile('c:\windows\system32\drivers\new_drv.sys');
     BC_DeleteSvc('new_drv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите каран тин согласно приложения 3 правил...
    повторите лог в SAFE MODE

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Если после скрипта V_Bond в карантин ничего не попадет,
    то выполните мой.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_QrFile('C:\windows\system32\drivers\new_drv.sys');
     BC_DeleteFile('C:\windows\system32\drivers\new_drv.sys');
     DeleteFile('C:\WINDOWS\system32\cscu.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.

    Профиксить в hijackthis:
    Код:
    O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing)
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    уберите карантин из темы ... не положено ... к тому же он старый ... и там ничего интересного ...
    давайте новый лог ...

  15. #14
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33
    1.Выполнил скрипт,
    2.пофиксил (не нашел строку O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing))


    беспокоит (может зря) что avp.exe присутствует дважды в процессах под SYSTEM и именем пользователя

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    нужен лог AVZ в SAFE MODE

  17. #16
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33
    Цитата Сообщение от V_Bond Посмотреть сообщение
    нужен лог AVZ в SAFE MODE
    как это сделать?запустить сканирование AVZ в SAFE MODE?

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    AVP бывает и трижды в процессах может присутствовать. Это нормально.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    как это сделать?запустить сканирование AVZ в SAFE MODE?
    http://virusinfo.info/showthread.php?t=10387

  20. #19
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    111
    Вес репутации
    33
    запустил сканирование AVZ в SAFE MODE
    вот что получилось:

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    все что хотели убрать -убрали ....
    какие-то проблемы остались ? ....

  • Уважаемый(ая) wheeller, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. Заражен трояном Trojan-GameThief.Win32.Magania.*
      От Gesserok в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.01.2010, 16:42
    2. Trojan-Downloader.Win32.Delf.dsz
      От AKAR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:32
    3. Компьютер заражен Backdoor.Win32.Delf.aws
      От temnovdn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2008, 10:35
    4. Trojan-Downloader.Win32.Delf.cxa
      От Antonon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.09.2008, 13:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00608 seconds with 22 queries