Показано с 1 по 16 из 16.

Поселился DownLoader (заявка № 17059)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33

    Thumbs up Поселился DownLoader

    Проблемы на компьютере дочери. При включении сети начинается активный обмен с инетом, DrWeb 4.44 в этот момент обычно находит Trojan.Downliader.39204.
    При включенной сети в процессах иногда появляется IEXPLORE.EXE (стоит Maxton), процессор сильно грузится и идет обмен с инетом.
    AVZ 4.29 находит и удаляет Email-Worm.Win32.Agent, спустя некоторое время он снова появляется. При открытии флешки или CD иногда система на некоторое время зависает, System в это время грузит процессор на 99%. Один раз на флешке обнаружил файлы вируса Trojan.Downloader.36484.
    DrWeb 4.44 на этом компе не видит их, хотя на других компах он это троян обнаруживает.
    Стоит DrWeb 4.44.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    Ищу как отправить, думал после отправки сообщения можно добавить логи, а теперь как

  5. #4
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    Кажется нашел
    Вложения Вложения

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Iot84');
     StopService('Elr85');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Elr85.sys','');
     QuarantineFile('C:\WINDOWS\Iot84.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_ImportALL;
     BC_QrFile('C:\WINDOWS\System32\Drivers\Elr85.sys');
     BC_QrFile('C:\WINDOWS\System32\Drivers\Elr85.sys');
     BC_QrSvc('Iot84');
     BC_QrSvc('Elr85');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17059
    Microsoft Most Valuable Professional in Consumer Security

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Затем выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Elr85');
     StopService('Iot84');
     StopService('smtpdrv');
     SetServiceStart('smtpdrv', 4);
     SetServiceStart('Iot84', 4);
     SetServiceStart('Elr85', 4);
     DeleteFile('C:\WINDOWS\system32\Drivers\Elr85.sys');
     DeleteFile('C:\WINDOWS\Iot84.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iot84.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportALL;
    BC_DeleteSvc('Iot84');
    BC_DeleteSvc('Elr85');
    BC_DeleteSvc('smtpdrv');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    Не помогло. Восстановление системы было выключено.
    После лечения HijackThis удаляемый код на месте.
    После перезагрузки система говорит, что восстановлена после серьезной ошибки (уточняю, восстановление выключено). При включении сети DrWeb отлавливает троян.

    Попробую второй скрипт

  9. #8
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    Пофиксил HijackThis и выполнил второй скрипт, строчки с ntos.exe не стало.
    После перезагрузки, попробовал включить сеть, система вылетела с сообщением - неожиданная остановка служб серверных приложений DCOM (кажется так).
    Что то не то. DrWeb по прежнему не видит на флешке Trojan.Downloader.36484 (храню в отдельной папке для теста). Базы почти последние. Другой комп с этими базами его видит.
    При включении сети много пакетов шлется в инет.
    Новые логи прилагаю
    Вложения Вложения

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Стало существенно чище, но кое-что осталось.

    Выполните такой скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Elr85\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Elr85.sys');
     BC_QrFile('G:\autorun.inf');
     BC_DeleteSvc('Elr85');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Elr85.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите весь карантин через эту форму:
    http://virusinfo.info/upload_virus.php?tid=17059

    Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    Сделал. Карантин загрузил (Файл сохранён как080127_082807_virus_479c94f738577.zip). Тормозов при открытии флешки или CD вроде нет. С сетью все так же, шлются пакеты. Трояна на флешке ДрВеб по прежнему не видит.
    Вложения Вложения

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Диск G: это флэшка или CD/DVD?
    Сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    G: это DVD, дочь в Симсов играет. Логом сейчас займусь.

    Добавлено через 3 минуты

    Ошибся это флешка. Блин, там прописались какие то скрытые файлы. ДрВеб их на моем компе не признает. Еще и свой комп лечить придется .
    Последний раз редактировалось Arcand; 27.01.2008 в 17:47. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    Переустановил ДрВеб 4.44 с последними базами.
    Проверил папку Windows, вирусов не обнаружено.
    На флешке обнаружился BackDoor.Bulknet.132, На CD с Симсами в авторуне сидит Trojan.Downloader.origin.
    Остается впечатление, что в системе сидит какая-то зараза
    Новый лог прилагаю
    Вложения Вложения

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Я больше ничего плохого не вижу.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    33
    Буду смотреть.

    Спасибо!

    Все таки, если не затруднит, какая зараза сидела?

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,550
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Arcand, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Кто-то поселился и не даёт ничего сделать
      От A.yeH4uk в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.07.2010, 11:09
    2. z-connect поселился :(
      От john555 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.11.2009, 18:19
    3. Кто-то поселился: CMD.EXE, taskkill?
      От dlenacsm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.07.2009, 21:14
    4. HELP кто-то поселился в с-ме
      От Chefachi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.06.2009, 10:45
    5. поселился win32/Wigon
      От bob666 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00328 seconds with 22 queries