Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Trojan.Muldrop.19646 (заявка № 42322)

  1. #1
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29

    Thumbs up Trojan.Muldrop.19646

    Здравствуйте!
    Dr.Web периодически определяет вот такую штуку: Trojan.Muldrop.19646. Происходит лечение. Через некоторое время снова определяет тоже самое.
    В безопасном режиме проверил компьютер с помощью AVPTool. Нашлись ещё вот такие штуки: Trojan.-Downloader.Win32.Agent.dbt; Trojan.Win32.Busus.arlj; BackdoorWin32SdBot.kcw
    Помогите избавиться от этого! Спасибо!

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Читаем, выполняем... http://virusinfo.info/showthread.php?t=1235

  4. #3
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29
    а, да файлы!
    не очень разобрался с загрузкой
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    "Пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\secpol.exe,
    O20 - AppInit_DLLs: karina.dat
    O20 - Winlogon Notify: ctasys - ctasys.dll (file missing)
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\PdtGuide.exe','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
     TerminateProcessByName('c:\windows\system32\cssrss.exe');
     QuarantineFile('c:\windows\system32\cssrss.exe','');
     DeleteFile('c:\windows\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winae04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winae15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winae48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winae72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincg48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincg63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincg83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winch72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winch83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windh15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windh37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windh72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windi27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windi48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windi84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfj04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingk04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingk26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingk83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingl62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winim37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winin37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjn61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winko37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winko61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlp04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmq04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmr15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnr72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winns37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winos04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winot61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winot72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpt48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpu50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpu72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqu50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqu83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrv26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrv50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsw15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintx48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintx83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winua48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winua61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winub72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuy83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winva04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvb26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwb50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxd37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyd26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyd50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyd72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyd83.sys');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('c:\windows\system32\secpol.exe');
     DeleteFile('c:\windows\system32\ctasys.dll');
     DeleteFile('c:\windows\system32\karina.dat');
    BC_Importall;
     BC_DeleteSvc('Winyd83');
     BC_DeleteSvc('Winyd72');
     BC_DeleteSvc('Winyd50');
     BC_DeleteSvc('Winyd26');
     BC_DeleteSvc('Winxd37');
     BC_DeleteSvc('Winwb50');
     BC_DeleteSvc('Winvb72');
     BC_DeleteSvc('Winvb26');
     BC_DeleteSvc('Winva04');
     BC_DeleteSvc('Winuy83');
     BC_DeleteSvc('Winub72');
     BC_DeleteSvc('Winua61');
     BC_DeleteSvc('Winua48');
     BC_DeleteSvc('Winty61');
     BC_DeleteSvc('Winty48');
     BC_DeleteSvc('Wintx83');
     BC_DeleteSvc('Wintx48');
     BC_DeleteSvc('Winsw15');
     BC_DeleteSvc('Winrv50');
     BC_DeleteSvc('Winrv26');
     BC_DeleteSvc('Winqu83');
     BC_DeleteSvc('Winqu50');
     BC_DeleteSvc('Winpu72');
     BC_DeleteSvc('Winpu50');
     BC_DeleteSvc('Winpt48');
     BC_DeleteSvc('Winot72');
     BC_DeleteSvc('Winot61');
     BC_DeleteSvc('Winos04');
     BC_DeleteSvc('Winns37');
     BC_DeleteSvc('Winnr72');
     BC_DeleteSvc('Winmr15');
     BC_DeleteSvc('Winmq04');
     BC_DeleteSvc('Winlp04');
     BC_DeleteSvc('Winko61');
     BC_DeleteSvc('Winko37');
     BC_DeleteSvc('Winjo26');
     BC_DeleteSvc('Winjn61');
     BC_DeleteSvc('Winin37');
     BC_DeleteSvc('Winim37');
     BC_DeleteSvc('Wingl62');
     BC_DeleteSvc('Wingl04');
     BC_DeleteSvc('Wingk83');
     BC_DeleteSvc('Wingk48');
     BC_DeleteSvc('Wingk26');
     BC_DeleteSvc('Wingk04');
     BC_DeleteSvc('Winfk72');
     BC_DeleteSvc('Winfj04');
     BC_DeleteSvc('Winej50');
     BC_DeleteSvc('Winei72');
     BC_DeleteSvc('Winei37');
     BC_DeleteSvc('Winei26');
     BC_DeleteSvc('Winei04');
     BC_DeleteSvc('Windi84');
     BC_DeleteSvc('Windi48');
     BC_DeleteSvc('Windi27');
     BC_DeleteSvc('Windh72');
     BC_DeleteSvc('Windh37');
     BC_DeleteSvc('Windh15');
     BC_DeleteSvc('Winch83');
     BC_DeleteSvc('Winch72');
     BC_DeleteSvc('Wincg83');
     BC_DeleteSvc('Wincg63');
     BC_DeleteSvc('Wincg48');
     BC_DeleteSvc('Winbg61');
     BC_DeleteSvc('Winbg15');
     BC_DeleteSvc('Winae72');
     BC_DeleteSvc('Winae48');
     BC_DeleteSvc('Winae15');
     BC_DeleteSvc('Winae04');
     BC_DeleteSvc('systemntmi');
     BC_DeleteSvc('ati64si');
     BC_DeleteSvc('amd64si');
    ExecuteSysClean;
     ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=42322
    Повторите логи по правилам.

  6. #5
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29
    Повторно сделанные логи, после выполнения скриптов.
    Файл из карантина отправил чуть раньше.
    Вложения Вложения
    Последний раз редактировалось SMaruf; 23.03.2009 в 19:48.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    в avz
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\blphcrbpj0e13c.scr');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте полную проверку AVPTool и логи повторите.

  8. #7
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29

    Стало совсем плохо

    Комп стал очень сильно виснуть.
    Проверка AVPTool определила событие: "Новая угроза 'Hidden.Object' (модификация) в файле C:\WINDOWS\system32\twain32,
    но лечения не предложил.
    После перезагрузок в строке задач повляются вкладки setap и msplaucher (не запомнил точно). Что-то устанавливается без спросу.
    AVZ красные строчки выдаёт.
    Файлы еле еле прицепились.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFileMask('%Tmp%', '*.*', true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29
    При выполнении скрипта Dr.Web стал ругаться и просить вылечить очередной trojan...panda
    жуть какая-то
    карантин и логи
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    При выполнении скриптов антивирус надо отключать, чтобы не мешал.

  12. #11
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29
    "и выгрузить всё из трея" к антивурусу тоже относится? Понятно.
    И теперь надо повторить выполнение скриптов или всё и так хорошо?

    Добавлено через 50 минут

    А конвертик со стрелочкойчто означает? А вопросик в кружочке?
    Последний раз редактировалось SMaruf; 24.03.2009 в 09:01. Причина: Добавлено

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Конвертик со стрелочкой- это в теме есть ваши сообщения.
    Вопросик в круге- это для нас метки.
    При выполнении скриптов обязательно нужно выгрузить АВ.

  14. #13
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29
    так всё повторить следует или нет?

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    в avz
    Код:
    begin
     executerepair(13);
    rebootwindows(true);
    end.
    Пункт 2 диагностики повторите.

  16. #15
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29
    сделал
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Установите ADobe Reader 9.1 или деинсталлируйте старый.
    В логах ничего плохого.
    Что с проблемами?

  18. #17
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29
    Установил Adobe Reader 9.1. АВ не ругается. Тормозов нет.
    В логе в пункте 1.4 речь идёт про подмену процесса (красивое выражение)!
    Это нормально?
    Спасибо Вам за помощь!

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Это нормально.

  20. #19
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    12
    Вес репутации
    29

    Про восстановление системы

    Забыл спросить:
    "Крыжик" в окне восстановления системы убирать или пусть будет отключена?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Восстановление системы можете обратно включить (если места на диске достаточно).

  • Уважаемый(ая) SMaruf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
      От v119 в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 15.03.2010, 13:56
    2. Ответов: 7
      Последнее сообщение: 01.09.2009, 19:24
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    5. как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516
      От Dimin75 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01032 seconds with 23 queries