Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Trojan.DownLoader.19481 (заявка № 8697)

  1. #1
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    Thumbs up Trojan.DownLoader.19481

    Лазил в Internete, подцепил Trojan.DownLoader.19481, DrWeb его удаляет. Перезагружаю ПК и опять: C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.DownLoader.19481.
    Незнаю как от него избавиться???????
    Вложения Вложения
    Последний раз редактировалось alek; 29.03.2007 в 15:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\HSFHWBS2.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\HSF_DP.sys','');
     QuarantineFile('C:\WINDOWS\System32\main.sys','');
     QuarantineFile('c:\windows\system32\ws2_32.dll','');
     QuarantineFile('C:\STUD\5 курс\Электронный учебник_Охрана интеллектуальной собственности\autorun.exe','');
    RebootWindows(false);
    end.
    Прислать карантин согласно приложения 3 правил .

    http://virusinfo.info/upload_virus.php?tid=8697
    Последний раз редактировалось drongo; 29.03.2007 в 16:14.

  4. #3
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    Trojan.DownLoader.19481

    Сделал как написано. Но в процессе проверки ПК перезагружается, так надо? После загрузки ПК появляется вирус опять. Сделал проверку заново. Файлы даны. Отправил Virus.zip. Что делать дальше? Подставлять в фун - ию взамен данного пути, подставлять другие или как?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    так надо
    Не терпеливый вы , однако
    Если так не терпится можно удалить того, который уже прислали и он детектиться.
    mayn.sys троянская программа Rootkit.Win32.Agent.el по касперу.
    Последний раз редактировалось drongo; 29.03.2007 в 22:06.

  6. #5
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    alek

    Спасибо!!!!!!
    Надеюсь Вы мне поможете в дальнейщем (избавиться от вируса).
    Буду ждать ответа!!!!!!!!!

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Надо еще поискать в AVZ autorun.*
    Все, что найдется в карантин и прислать.

    Off: Привет Тамбову! Служил в училище М.Расковой.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Значит так , после консультации с создателем самой AVZ, ака Олегом Зайцевым, чтобы скопировать неуловимый файлик
    ws2_32.dll:for k2 , нужно выполнить следующий скрипт , комп перезагрузиться , Затем прислать нам его по правилам( http://virusinfo.info/upload_virus.php?tid=8697 ) для дальнейшего изучения. Он надеюсь будет единственный в карантине авз.
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
     ClearQuarantine();
     QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:for k2:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:for k2','');
     DeleteFile('C:\WINDOWS\system32\main.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
    BC_ImportDeletedList;
     // Чистка ссылок на удаленные файлы
     ExecuteSysClean; 
     // Активация драйвера Boot Cleaner
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
    RebootWindows(true);
    end.
    * Прикрепить к теме файл boot_clr.log из папки АВЗ
    Последний раз редактировалось drongo; 29.03.2007 в 22:20.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Обновленный Касперский от 26 марта лечит эту гадость, см соседнюю тему 8657.
    Можно поставить его временно и пролечится.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    alek

    Но вирус появляется опять. Так надо или пока до него мы не дошли?

    А вот только не понимаю, почему AVZ определила эти файлы: autorun.exe, main.sys, HSFHWBS2.sys – всего где то их 16, как карантин (вирус). DrWeb не определял их как вирус или подозрение на вирус. Он только определил - Trojan.DownLoader.19481.

    В дальнейшем Вы напишите функцию на него?
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    alek

    Сейчас всё разволилось. Остался только ВУЗ - СВЯЗЬ

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Поищи autorun.* через AVZ. Их может быть много с разнообразными расширениями.
    По поводу лечения трояна я написал рекомендацию. К сожалению, я не знаю опознает ли их обновленный Dr.Web.

    P.S. О состоянии дел в Тамбове я в курсе, у меня там родственники живут.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Всё очень странно, опять только автораны
    выполните этот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:fork2','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_8697_r2_quarantine.zip');
    RebootWindows(true);
    end.
    Загрузите только файл virusinfo_8697_r2_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php?tid=8697
    Последний раз редактировалось drongo; 30.03.2007 в 15:50.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    странно, но лаб каспера файлы autorun проигнорировала

    Сейчас поправил скрипт ,выполните его
    Последний раз редактировалось drongo; 30.03.2007 в 15:51.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин надо отправлять по правилам.
    Отсюда нужно удалить.
    Как отправлять читай в Правилах в конце написано. или см. сообщение #7. Там есть ссылка на форму.

    Про autorun. Запускаешь AVZ, там есть поиск файла на диске. Вбиваешь строчку autorun.* и запускаешь поиск. Если Что-то найдется, сделаешь лог и вышлешь сюда.

    Про Тамбов написал в ЛС.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    virusinfo_8697_r2_quarantine.zip загружать только в: http://virusinfo.info/upload_virus.php?tid=8697

  17. #16
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    alek

    Карантин удалил. Я его уже отправлял. Это я просто поместил на всякий случай. Сделал проверку, ничего не найдено!!!!!!

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    http://virusinfo.info/showpost.php?p...&postcount=113
    Trojan.Win32.Pakes = ws2_32.dll:fork2
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA');
     DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи по правилам и прикрепите к теме, посмотрим что осталось.
    Последний раз редактировалось drongo; 30.03.2007 в 19:56.

  19. #18
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    alek

    Попробовал сделать проверку системы DrWeb снова. На всякий случай файл отчёта разместил. Может быть он вам потребуется? После того как я начал проверять систему программой AVZ, он проверил, перезагрузил ПК, появился C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован BackDoor.Bulknet.

    Включил восстановление системы (как написано в правиле). DrWebего исцелил. Может быть это разновидность вируса который написан вверху???? Или он появляется когда отключено восстановление системы?????
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Кое-что осталось и все вернулось на круги своя...
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA');
     DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2');
    BC_DeleteSvc('EXAMPLE');
    BC_DeleteSvc('Runtime');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Приложите к теме файл 'boot_clr.log' из папки с AVZ и сделайте новые логи п.10 и 12 правил.

  21. #20
    Junior Member Репутация
    Регистрация
    29.03.2007
    Адрес
    г. Тамбове
    Сообщений
    10
    Вес репутации
    63

    alek

    Вирус ни тот ни другой НЕ ПОЯВИЛИСЬ

    Может быть они появятся потом???????

    Хорошо бы нет
    Вложения Вложения

  • Уважаемый(ая) alek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan.Java.Agent.aw Trojan-Downloader.JS.DarDuk.cl
      От alex171 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.01.2012, 12:30
    2. Ответов: 3
      Последнее сообщение: 12.06.2009, 23:17
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    4. как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516
      От Dimin75 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:42
    5. Ответов: 22
      Последнее сообщение: 22.05.2007, 11:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01051 seconds with 20 queries