Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

возможно Trojan-Proxy.Win32.Dlena.bv (заявка № 7760)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63

    Thumbs up возможно Trojan-Proxy.Win32.Dlena.bv

    помогите опознать и удалить заразу
    по какому-то событию (НЕ сразу после включения компа) начинает ломиться в интернет и забивает весь канал... пока не заметил, с компа отослалось 350Мб спама, потом прикрыл на сервере выход с этой машины, пролечил cureit!'ом - вроде притихло... сегодня открыл доступ, смотрю - опять ломанулось (лезет много куда на 25ые порты)... прикрыл нафиг, и понял, что одним вэбом тут не обойтись... часть удалил AVZ'ой, часть - hijackthis... так что файлов немного больше... и решил написать вам...

    заранее спасибо за содействие
    ps: в базу spamcop.net уже добавили... :о(
    Вложения Вложения
    Последний раз редактировалось Warwar; 02.02.2007 в 18:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Уберите файл virusinfo_cure.zip с форума!!!

  4. #3
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Уберите файл virusinfo_cure.zip с форума!!!
    извините, убрал

  5. #4
    Geser
    Guest
    Выполнить скрипт, содержимое карантина прислать по правилам

    Код:
    begin
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('C:\Program Files\Common Files\dbmio32.dll','');
     QuarantineFile('C:\WINDOWS\system32\msnetax.dll','');
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от Geser Посмотреть сообщение
    Выполнить скрипт, содержимое карантина прислать по правилам
    done.
    Файл сохранён как 070202_182323_virus_45c3576b7870f.zip

    и на всякий случай логи того, что я УЖЕ удалил hijack'ом
    Вложения Вложения
    • Тип файла: zip backup.zip (865 байт, 3 просмотров)

  7. #6
    Geser
    Guest
    Один троян обнаружиился.
    C:\WINDOWS\system32\rpcc.dll
    Остальные файлы в проверке

  8. #7
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от Geser Посмотреть сообщение
    Один троян обнаружиился.
    C:\WINDOWS\system32\rpcc.dll
    Остальные файлы в проверке
    ага... значит я его правильно удалил... и AVZ на него ругался изначально...
    ждут дальше...
    вопрос: как эта зараза вообще могла на комп попасть? пользователь работает только в САПР + смотрит погоду на гисметео (на десктопе линк), мужику 65лет, врят ли он стал бы где-то еще лазить... хотя, кто знает %)

  9. #8
    Geser
    Guest
    C:\Program Files\Common Files\dbmio32.dll это тоже судя по всему кусок трояна. Попасть мог через уязвимость какую-то

  10. #9
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от Geser Посмотреть сообщение
    C:\Program Files\Common Files\dbmio32.dll это тоже судя по всему кусок трояна. Попасть мог через уязвимость какую-то
    файло удалю...
    уязвимость, за натом? скорее всего кто-то что-то где-то не там все же ткнул... :о/

  11. #10
    Geser
    Guest
    Уязвимоть в браузере. И тыкать не нужно. Достаточно зайти на зараженную страницу.

  12. #11
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от Geser Посмотреть сообщение
    Уязвимоть в браузере. И тыкать не нужно. Достаточно зайти на зараженную страницу.
    ну да... наверное...
    я так понимаю, все остальное в норме или на рассмотрении?

  13. #12
    Geser
    Guest
    На рассмотрении. Эксплорер похоже пропатченый. Точно пока не могу сказать.

  14. #13
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    если не сильно заняты, можно в двух словах принцип работы? эта ерунда управляется по сети и базы рассылок и, собсно, самих писем получает постоянно? или оно хранит все на диске? можно ли "вычислить" управляющий компьютер и просто заблокировать доступ его в свою сеть? таким образом даже если кто-то заразится, массовой рассылки можно избежать... или у него какой-то более хитрый механизм работы?

  15. #14
    Geser
    Guest
    Цитата Сообщение от Warwar Посмотреть сообщение
    если не сильно заняты, можно в двух словах принцип работы? эта ерунда управляется по сети и базы рассылок и, собсно, самих писем получает постоянно? или оно хранит все на диске? можно ли "вычислить" управляющий компьютер и просто заблокировать доступ его в свою сеть? таким образом даже если кто-то заразится, массовой рассылки можно избежать... или у него какой-то более хитрый механизм работы?
    Не в курсе как конкретно этот троян работает.
    c:\windows\explorer.exe действительно патченый его нужно заменить на чистый, потом удалить
    C:\Program Files\Common Files\dbmio32.dll
    C:\WINDOWS\system32\rpcc.dll
    если они опять появятся.

  16. #15
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от Geser Посмотреть сообщение
    Не в курсе как конкретно этот троян работает.
    c:\windows\explorer.exe действительно патченый его нужно заменить на чистый, потом удалить
    C:\Program Files\Common Files\dbmio32.dll
    C:\WINDOWS\system32\rpcc.dll
    если они опять появятся.
    огромное спасибо... буду бороться дальше )
    если не сложно, объясните как выудить из дистрибута чистый эксплорер?.. я как-то больше по 98ой... в XP не сильно знаю...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Warwar Посмотреть сообщение
    огромное спасибо... буду бороться дальше )
    если не сложно, объясните как выудить из дистрибута чистый эксплорер?.. я как-то больше по 98ой... в XP не сильно знаю...
    Если есть фирменный диск Microsoft с виндой - можно выполнить команду Sfc /scannow она сама выудит нужный файл, если нет - ищите в каталоге файл explorer.ex_ потом распакйте файл - expand explorer.ex_

  18. #17
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от RiC Посмотреть сообщение
    Если есть фирменный диск Microsoft с виндой - можно выполнить команду Sfc /scannow она сама выудит нужный файл, если нет - ищите в каталоге файл explorer.ex_ потом распакйте файл - expand explorer.ex_
    спасибо

  19. #18
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    а можете в общих чертах объяснить, как определяется степень зараженности того или иного файла?.. неужели прямо полным реверс-инжиниригом? или есть какие-то экспресс-тесты?.. интерес не пустой... хочется понять, что бы а) потом не задавать лишних вопросов, б) помочь кому-то попавшему в подобную ситуацию...
    как я уже понял, вэб почему-то не сильно хорошо справляется с подобными вещами.. :о/

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Warwar Посмотреть сообщение
    а можете в общих чертах объяснить, как определяется степень зараженности того или иного файла?.. неужели прямо полным реверс-инжиниригом? или есть какие-то экспресс-тесты?..
    Самый простой вариант - залить подозреваемого на www.virustotal.com, из представленных на нем полутора десятков антивирусов есть шанс что у кого-то подозреваемый уже есть в базе.
    Для исполняемых файлов на сайте Norman есть Sandbox, можно закачать к ним, качество этого "автомата" весьма среднее, но с простым трояном он разобраться способен.

  21. #20
    Junior Member Репутация
    Регистрация
    02.02.2007
    Сообщений
    22
    Вес репутации
    63
    Цитата Сообщение от RiC Посмотреть сообщение
    Самый простой вариант - залить подозреваемого на www.virustotal.com, из представленных на нем полутора десятков антивирусов есть шанс что у кого-то подозреваемый уже есть в базе.
    Для исполняемых файлов на сайте Norman есть Sandbox, можно закачать к ним, качество этого "автомата" весьма среднее, но с простым трояном он разобраться способен.
    а если эти все ребята сказали, что все ОК, то что?

  • Уважаемый(ая) Warwar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. глючит Інтернет Trojan-Proxy.Win32.Dlena.bb
      От Roteiro в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 22.02.2009, 01:43
    2. Trojan.Proxy.Win32.Dlena.bv
      От Valery R в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:36
    3. Ответов: 3
      Последнее сообщение: 05.02.2007, 11:19
    4. как избавиться от Trojan-Proxy.Win32.Dlena.an
      От avyer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.12.2006, 18:22
    5. Trojan-Proxy.Win32.Dlena.an
      От McS в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.12.2006, 21:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01038 seconds with 20 queries