Показано с 1 по 18 из 18.

Proxy.Win32.Dlena.bk (заявка № 7573)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    9
    Вес репутации
    37

    Thumbs up Proxy.Win32.Dlena.bk

    Добрый день!

    Меня зовут Александр, я системный администратор компании ООО «Мир Лечебной Косметики». Сегодня два пользователя «поймали вирус», который превращает заражённый компьютер в сервер рассылки спамерских писем. На время проблема решена фаер-волом, но пользователям нужна почта. Касперский 6.0 с обновлённой базой + последний Windows Update нашли вирус, который называется Trojan-Proxy.Win32.Dlena.bk (до Windows Update Касперский его почему-то на видел, хотя активность была). Касперский находит файл rpccd.dll, говорит, что его удалил, но после перезагрузки всё повторяется. Почитав форумы я понял, что данный вирус можно легко удалить с помощью утилиты AVZ, но для неё нужен специальный скрипт, примерно следующего вида:

    «
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\program files\mindjet\mindmanager 6\mmreminderservice.exe','');
    QuarantineFile('C:\WINDOWS\system32\rpccd.dll','') ;
    RebootWindows(true);
    end.
    «

    Все скрипты, которые я нашёл в Интернете мне не помогли, наверное под мою разновидность вируса «bk» не написали.

    Заранее спасибо.

    Вложения
    Вложения Вложения
    Последний раз редактировалось anton_dr; 20.01.2007 в 12:56.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    1. Под r-admin многое м.б. не видно.
    Нужны логи чисто с компьютеров.
    2 В AVZ файл -- выполнить скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe','');
     QuarantineFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe ','');
     QuarantineFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe ','');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe ');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe ');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Будет перезагрузка. Карантин прислать, согласно правил - см. Приложение 2, начиная с пункта 5. Ссылка на тему: http://virusinfo.info/showthread.php?t=7573

    2. в HijackThis профиксить
    Код:
    O4 - HKCU\..\Run: [WinUpdate] "C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe " 
    O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe
    O4 - HKCU\..\Run: [WinInit] "C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe "
    Перезагрузиться, прислать повторно логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    9
    Вес репутации
    37

    ответ

    Высылаю чистые логи (без РАдмина). Подскажите куда АВЗ кладёт файлы карантина?
    Профиксить не удалось, т.к. после выполнения скрипта в АВЗ и повторного сканинга в Hijackthis данные строки исчезли.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от poluboff Посмотреть сообщение
    Подскажите куда АВЗ кладёт файлы карантина?
    Внимательно прочитать:
    Карантин прислать, согласно правил - см. Приложение 2, начиная с пункта 5.

  6. #5
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    9
    Вес репутации
    37
    после выполнекния скрипта, компьютер уходит на перезагрузку.
    После перезагрузки открываю АВЗ, делаю Файл-Просмотр карантина и там пусто.
    ???

  7. #6
    Geser
    Guest
    Пусто так пусто.
    Выполните вот этот скрипт

    Код:
    begin
     QuarantineFile('snapman.sys','');
     QuarantineFile('C:\WINDOWS\system32\WgaLogon.dll','');
     QuarantineFile('C:\Program Files\Common Files\dbmmgr32.dll','');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe ');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe ');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe');
    ExecuteSysClean;
    end.
    Содержимое карантина пришлите

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Geser Посмотреть сообщение
    Пусто так пусто.
    Выполните вот этот скрипт

    Код:
    begin
     QuarantineFile('snapman.sys','');
     QuarantineFile('C:\WINDOWS\system32\WgaLogon.dll','');
     QuarantineFile('C:\Program Files\Common Files\dbmmgr32.dll','');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe');
     DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe');
    ExecuteSysClean;
    end.
    Содержимое карантина пришлите
    Чуть-чуть скорректировал. Почему-то влетает лишний пробел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    9
    Вес репутации
    37
    Файлик карантина залил:
    Файл сохранён как070123_172435_virus_45b61aa3d7908.zipРазмер файла100329MD5e3cb690eeba4ed9ee50bf7a386697b5d
    Но скрипт не помог, спам всё равно идёт.
    Последний раз редактировалось poluboff; 23.01.2007 в 17:32.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\dbmmgr32.dll');
     ExecuteSysClean;
     RebootWindows(True);
    end.
    Компьютер перезагрузится.
    Сделайте новее логи начиная с 10-го пункта Правил.

    PS. AVG определил его как IRC/BackDoor.SdBot2.RFX

  11. #10
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    9
    Вес репутации
    37
    Высылаю логи.
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    9
    Вес репутации
    37
    Скрипт вроде помог. Почему "вроде"? Т.к. уже было такое после одного скрипта, вирус успокоился, а через пару часов опять стал рассылать спам.
    Ещё не понятно, почему AVG определил его, как IRC/BackDoor.SdBot2.RFX???
    IRC на этом компьютере никогда не стояла.
    KAV до выполнения скрипта переодически писал, что нашёл вирус Proxy.Win32.Dlena.bk в файле rpccd.dll.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    IRC втихушку ставят сами трояны для оперативной связи со своим хозяином.
    Наше дело правое--победа будет за нами!!!

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Нужен еще один лог АВЗ, который с блокировкой руткитов.

    В логе HijackThis не видно работающего Касперского. Хотя в автозапуске он есть и в сервисах тоже.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от poluboff Посмотреть сообщение
    Высылаю логи.
    Файл C:\Program Files\Common Files\dbmmgr32.dll удален.
    Ничего подозрительного не вижу. Будут жалобы, обращайтесь.

  16. #15
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    9
    Вес репутации
    37
    Спасибо!!!
    Подскажите, как посмотреть не стоит ли компьютере вражеская IRC?
    Когда делался лог, КАВ был выключен его же стандартными средствами, а не через службы.
    Можно ли поконкретнее какой ещё лог нужен? который описан в пунке 8???

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    "вражеская IRC" не видна. BackDoor, видимо, имел ее внутри себя.
    Да, имелся ввиду именно лог из 8-го пункта.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Если проблемы исчезли, то лог скорее всего не нужен. Про Касперского понял.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\dbmmgr32.dll - Trojan-Proxy.Win32.Pixoliz.ib (DrWEB: Trojan.Packed.76)


  • Уважаемый(ая) poluboff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. возможно Trojan-Proxy.Win32.Dlena.bv
      От Warwar в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 22.02.2009, 01:37
    2. Trojan.Proxy.Win32.Dlena.bv
      От Valery R в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:36
    3. Proxy.Win32.Dlena.bk comp2
      От poluboff в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 01:35
    4. как избавиться от Trojan-Proxy.Win32.Dlena.an
      От avyer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.12.2006, 18:22
    5. Trojan-Proxy.Win32.Dlena.an
      От McS в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.12.2006, 21:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00801 seconds with 24 queries