Показано с 1 по 9 из 9.

Trojan.Starter.47 и его напарник Trojan.Spambot (заявка № 5540)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2006
    Сообщений
    4
    Вес репутации
    66

    Trojan.Starter.47 и его напарник Trojan.Spambot

    Доброе время суток.
    Подхватил на железного коня пару зверей.
    Сижу за вебом и за Sygate Personal Firewall.
    Затащил гадость через осла,скачал прогу, открыл кряк.


    Пункты 8 и 10 выполнить не смог, так как после, того как отмечаю
    "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты"
    комп тупо уходит в перегруз.

    Ставил винду на другой диск и прогонял выбом, он вроде всё нашел, удалил, но при возращение на старую систему и подключение Интернета всё возвращается.

    Буду рад любой помощи.
    С Уважением Xlor .
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    В этой ситуации стоит поступить так:
    1. Проверить системный диск при помощи AVZ, не включая противодейстсвие руткитам
    2. Не выходя из AVZ зайти в "Файл/Исследование системы" и выполнить исследование с параметрами по умолчанию.
    3. Полученный на шаге 2 протокол исследования системы запостить сюда

  4. #3
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Скачай XenAntiSpyware (ссылка в подписи) и удали левую WinLogon библиотеку.

  5. #4
    Junior Member Репутация
    Регистрация
    20.05.2006
    Сообщений
    4
    Вес репутации
    66
    Спасибо за советы,вот нашёл у вас сайте это http://virusinfo.info/showthread.php?t=4481 очень похоже на мой случай.Оно ли?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Возможно.
    Но Xen имел в виду вот это:
    O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
    ================================================
    Удалить можно и вручную:
    Пуск - Выполнить - regedit.
    Открыть раздел:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

    Там в нормальном варианте должны быть только:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c, 00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c, 6c,00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    "DLLName"="cscdll.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    "DLLName"="wlnotify.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c, 6c,00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c, 6c,00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    "DLLName"="WlNotify.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c, 6c,00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    "DLLName"="wlnotify.dll"

    Смотреть стоит по имени либо по DLLName - оно указывает на загружаемый файл.
    (Hекоторые программы тоже используют этот раздел, к примеру, PcAnywhere).

    Лечение довольно простое - находим сначала левый раздел.
    К примеру, у Backdoor.Bech это
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\2006reg
    "DLLName"="C:\Settings\2006.dll"
    у Backdoor.Uragan:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\00Hedgie00reg]
    "DllName"="C:\\Documents and Settings\\All Users\\?????????\\Settings\\00Hedgie00.dll"

    Как видно, DllName четко указывает файл трояна. С путем .

    Hа троянский раздел (2006reg, 00Hedgie00reg и т.п. в Notify) в regedit
    устанавливаем запреты всем на всё (останется только для создателя/владельца, его не запретишь, да это и не нужно). Удалять там что-то бесполезно - троян все равно всё свое восстановит. Фишка в том, что эти запреты подействуют на саму винду - она не станет читать такой раздел и соответственно не загрузит троян при следующей перезагрузке (видимо, достаточно запретить для SYSTEM, но я запрещал всем кроме создателя/владельца).
    Перезагружаемся, прибиваем файлы трояна и потом уже удаляем его раздел из реестра (предварительно сняв запреты). Всё.
    ================================================

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    А упомянутый Вами Adware.Look2Me прибивается спайдером. Надо временно перевести его из оптимального режима в режим проверки "Запись и открытие" + "Создание и запись" и перезагрузиться. После загрузки прибить неработающие остатки сканером.

  8. #7
    Junior Member Репутация
    Регистрация
    20.05.2006
    Сообщений
    4
    Вес репутации
    66
    Вот , сделал провеку avz
    Вложения Вложения
    Последний раз редактировалось xlor; 22.05.2006 в 13:09.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Необходимо прислать для изучения в соответствии с правилами следующие файлы:
    c:\program files\drwu\drwu.exe
    C:\WINDOWS\system32\ldr64.dll
    C:\PROGRA~1\TROJAN~1\Trshlex.dll
    После этого выполнить следующее:
    1. Включить AVZ Guard
    2. Отложенным удалением удалить файл ldr64.dll
    3. Не выходя из AVZ и не выключая AVZ Guard перезагрузиться
    4. Сделать новый лог и убедиться, что ldr64.dll исчез

  10. #9
    Junior Member Репутация
    Регистрация
    20.05.2006
    Сообщений
    4
    Вес репутации
    66
    Так, начну по порядку
    c:\program files\drwu\drwu.exe это утилита для обновлений веба,
    C:\WINDOWS\system32\ldr64.dll
    это, как я понимаю, сам зверь.

    После всех выполнимых действий, вот этого C:\PROGRA~1\TROJAN~1\Trshlex.dll а.
    в отчёте больше не видел.
    Всем спасибо.
    Зверь скорее мертв, чем жив.
    Прикладываю отчёт о проделанной работе.
    Xen, кстати, а мы оказывается земляки.
    Вложения Вложения

  • Уважаемый(ая) xlor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Spambot.origin и Trojan.Siggen.18257 - пытаемся вылечить руками
      От An4xu в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 29.01.2010, 17:59
    2. Ответов: 10
      Последнее сообщение: 31.12.2009, 01:36
    3. BackDoor.Tdss, Trojan.Starter, Trojan.Packed, и Trojan.FakeAlert
      От Stewart little в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 13:05
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    5. Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478
      От Sky_Tech в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.02.2008, 09:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00773 seconds with 20 queries