-
Junior Member
- Вес репутации
- 60
Компьютер заражен трояном Trojan-Downloader.Win32.Delf.dbo
Kaspersky AV 6.0 нашел в папке System32 зараженный вирусом Trojan-Downloader.Win32.Delf.dbo файл cscu.dll. Не может удалить его - пишет "Файл содержит троянскую программу Trojan-Downloader.Win32.Delf.dbo. Лечение невозможно: отсутствуют права на запись". Троян запускает дублирующий процесс avp.exe (в логах он может отсутствовать т.к. во время работы AVZ Касперский был отключен.
Вот необходимые файлы
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Базы AVZ надо обновлять!!
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\system32\drivers\cqigsjyg.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdrv2.sys','');
QuarantineFile('C:\WINDOWS\system32\cscu.dll','');
DeleteFile('C:\WINDOWS\system32\cscu.dll');
DelCLSID('33331111-1111-1111-1111-615111193427');
DelCLSID('33331111-1111-1111-1111-611111193423');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин.
Последний раз редактировалось PavelA; 26.11.2007 в 11:33.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
спасибо, файл удален!
-
Карантин загрузили?
новые логи надо сделать. Посмотрим, что осталось.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
еще: в автозагрузке есть неизвестный процесс: dumprep0 -k (%systemroot%\system32\dumprep0 -k;
и процесс avp в кавычках
Нужно ли что-то делать?
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat','');
DeleteFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Сообщение от
wheeller
еще: в автозагрузке есть неизвестный процесс: dumprep0 -k (%systemroot%\system32\dumprep0 -k;
и процесс avp в кавычках
Нужно ли что-то делать?
Первый - выдача дампа в случае возникновения ошибки.
Второй - из-за длинной директории с пробелами в имени.
Добавлено через 1 минуту
Вот эту ерунду еще надо профиксить:
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
Последний раз редактировалось PavelA; 26.11.2007 в 12:25.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
выполняю в AVZ скрипт лечения/карантина и сбора информации для раздела... в процессе комп перезагружается.
Добавлено через 52 секунды
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
пофиксил
Последний раз редактировалось wheeller; 26.11.2007 в 12:49.
Причина: Добавлено
-
Значит, пришла пора сделать вот это:http://virusinfo.info/showthread.php?t=10387
Желательно в защищенном режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
-
выполнте скрипт...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\windows\system32\drivers\new_drv.sys','');
DeleteFile('C:\WINDOWS\system32\cscu.dll');
DelCLSID('59B77E0C-0EC9-4CB9-98C0-B018354DAF82');
DeleteFile('c:\windows\system32\drivers\new_drv.sys');
BC_DeleteSvc('new_drv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите каран тин согласно приложения 3 правил...
повторите лог в SAFE MODE
-
-
Если после скрипта V_Bond в карантин ничего не попадет,
то выполните мой.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('C:\windows\system32\drivers\new_drv.sys');
BC_DeleteFile('C:\windows\system32\drivers\new_drv.sys');
DeleteFile('C:\WINDOWS\system32\cscu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин.
Профиксить в hijackthis:
Код:
O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
уберите карантин из темы ... не положено ... к тому же он старый ... и там ничего интересного ...
давайте новый лог ...
-
-
Junior Member
- Вес репутации
- 60
1.Выполнил скрипт,
2.пофиксил (не нашел строку O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing))
беспокоит (может зря) что avp.exe присутствует дважды в процессах под SYSTEM и именем пользователя
-
нужен лог AVZ в SAFE MODE
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
нужен лог AVZ в SAFE MODE
как это сделать?запустить сканирование AVZ в SAFE MODE?
-
AVP бывает и трижды в процессах может присутствовать. Это нормально.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
как это сделать?запустить сканирование AVZ в SAFE MODE?
http://virusinfo.info/showthread.php?t=10387
-
-
Junior Member
- Вес репутации
- 60
запустил сканирование AVZ в SAFE MODE
вот что получилось:
-
все что хотели убрать -убрали ....
какие-то проблемы остались ? ....
-