Показано с 1 по 16 из 16.

как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516 (заявка № 8783)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    37

    Exclamation как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516

    Просьба помочь разобраться в вирусной активности на машине.
    Пишу по просьбе знакомого, поэтому, возможно, описание проблем
    будет не совсем точным, но выдержки из log-файлов вроде бы стандартам соответствуют.

    Признаки проблемы - на машине плохо работает программа Internet Explorer - то закрывается, то вообще не запускается.

    Монитор spider периодически находит и удаляет вирусы типа
    Trojan.MulDrop.5516 :

    17-03-2007 18:17:07 [CL] C:\WINDOWS\System32\totour.exe - infected with Trojan.MulDrop.5516

    А также

    Trojan.DownLoader.19241:

    17-03-2007 18:22:06 C:\WINDOWS\System32\x2f4fr.dll - infected with Trojan.DownLoader.19241 and cannot be cured

    Соответсвующие логи проверок прилагаются.

    Надеюсь на квалифицированную помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    1. Скачать winsockfix.exe
    2. В AVZ выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\svchots.exe','');
     QuarantineFile('C:\WINDOWS\System32\msnetax.dll','');
     QuarantineFile('C:\WINDOWS\dbmmgr32.dll','');
     DeleteFile('C:\WINDOWS\System32\msnetax.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки может пропасть Инет.
    Если пропадет Инет, то запустить winsockfix.exe
    После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
    Это только начало лечения!!

    Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от PavelA Посмотреть сообщение
    1. Скачать winsockfix.exe
    2. В AVZ выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\svchots.exe','');
     QuarantineFile('C:\WINDOWS\System32\msnetax.dll','');
     QuarantineFile('C:\WINDOWS\dbmmgr32.dll','');
     DeleteFile('C:\WINDOWS\System32\msnetax.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки может пропасть Инет.
    Если пропадет Инет, то запустить winsockfix.exe
    После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
    Это только начало лечения!!

    Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
    Ок, попробуем. Насколько я понимаю, сервис пак 2 надо будет ставить уже после окончания лечения?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Насколько я понимаю, сервис пак 2 надо будет ставить уже после окончания лечения?
    Чем быстрей, тем лучше.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от PavelA Посмотреть сообщение
    1. Скачать winsockfix.exe
    2. В AVZ выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\svchots.exe','');
     QuarantineFile('C:\WINDOWS\System32\msnetax.dll','');
     QuarantineFile('C:\WINDOWS\dbmmgr32.dll','');
     DeleteFile('C:\WINDOWS\System32\msnetax.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки может пропасть Инет.
    Если пропадет Инет, то запустить winsockfix.exe
    После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
    Это только начало лечения!!

    Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
    А откуда качать winsockfix.exe?

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от PavelA Посмотреть сообщение
    1. Скачать winsockfix.exe
    2. В AVZ выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\svchots.exe','');
     QuarantineFile('C:\WINDOWS\System32\msnetax.dll','');
     QuarantineFile('C:\WINDOWS\dbmmgr32.dll','');
     DeleteFile('C:\WINDOWS\System32\msnetax.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки может пропасть Инет.
    Если пропадет Инет, то запустить winsockfix.exe
    После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
    Это только начало лечения!!

    Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
    Наконец-то удалось выполнить действия по закачке.
    Знакомому приходится помогать удаленно, поэтому результат
    не слишком быстр.
    Из запрошенных файлов удалось отправить только
    C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe и
    C:\WINDOWS\dbmmgr32.dll
    Остальные не пересылаются и на карантин не ставятся, поскольку
    почему-то отсутствуют на машине после выполнения стандартных
    процедур avz. Возможно они находятся среди инфицированных файлов.
    Если необходимо, могу переслать и их.
    Жду советов по части лечения.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe - Virus.Win32.Grum.a (по Касперскому)
    По второму C:\WINDOWS\dbmmgr32.dll итог более интересный

    AhnLab-V3 2007.4.10.0 04.11.2007 no virus found
    AntiVir 7.3.1.50 04.11.2007 no virus found
    Authentium 4.93.8 04.11.2007 W32/Agent.BVH
    Avast 4.7.936.0 04.10.2007 no virus found
    AVG 7.5.0.447 04.11.2007 no virus found
    BitDefender 7.2 04.11.2007 Trojan.SpamBot.H
    CAT-QuickHeal 9.00 04.10.2007 no virus found
    ClamAV devel-20070312 04.11.2007 no virus found
    DrWeb 4.33 04.11.2007 Trojan.Spambot
    eSafe 7.0.15.0 04.10.2007 suspicious Trojan/Worm
    eTrust-Vet 30.7.3560 04.11.2007 no virus found
    Ewido 4.0 04.10.2007 no virus found
    FileAdvisor 1 04.11.2007 no virus found
    Fortinet 2.85.0.0 04.11.2007 suspicious
    F-Prot 4.3.1.45 04.11.2007 W32/Agent.BVH
    F-Secure 6.70.13030.0 04.11.2007 no virus found
    Ikarus T3.1.1.5 04.11.2007 SpamTool.Win32.Agent.u
    Kaspersky 4.0.2.24 04.11.2007 no virus found
    McAfee 5005 04.10.2007 Spam-Xarvester
    Microsoft 1.2405 04.11.2007 no virus found
    NOD32v2 2180 04.11.2007 no virus found
    Norman 5.80.02 04.10.2007 no virus found
    Panda 9.0.0.4 04.11.2007 no virus found
    Prevx1 V2 04.11.2007 no virus found
    Sophos 4.16.0 04.06.2007 no virus found
    Sunbelt 2.2.907.0 04.07.2007 no virus found
    Symantec 10 04.11.2007 no virus found
    TheHacker 6.1.6.088 04.09.2007 no virus found
    VBA32 3.11.3 04.10.2007 no virus found
    VirusBuster 4.3.7:9 04.10.2007 Spamtool.Agent.Gen.!Pac
    Webwasher-Gateway 6.0.1 04.11.2007 Win32.UPXpacked.gen!94 (suspicious)

    Думаю, тоже надо удалять. Скрипт будет в след. сообщении
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В AVZ выполнить скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
     QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\svchots.exe','');
     DeleteFile('C:\WINDOWS\dbmmgr32.dll');
     DeleteFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\svchots.exe');
     DeleteFile('C:\WINDOWS\System32\msnetax.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     // Перезагрузка
     RebootWindows(true);
    end.
    После перезагрузки прислать карантин, если что-то попадет, по форме.
    А также boot_clr.log в директории AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от PavelA Посмотреть сообщение
    В AVZ выполнить скрипт:
    После перезагрузки прислать карантин, если что-то попадет, по форме.
    А также boot_clr.log в директории AVZ.
    Скрипт выполнили, файлы попавшие в карантин (по-моему там файлы размером по 0 байт) отправлены через форму (virus-14.zip). Файл
    boot_clr.log выкладываю здесь.

    Если все в норме, будем чистить 'C:\DOCUME~1\Paul\LOCALS~1\Temp\' и ставить SP2.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Давайте новые логи сделаем, для контроля.

  13. #12
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Давайте новые логи сделаем, для контроля.
    К сожалению в этот раз с лечением нас постигла неудача...
    Похоже все придется делать сначала.
    Описываю ситуацию по шагам, опять же со слов пользователя...
    1. Все скрипты были выполнены, протокол выслан сюда.
    Вирусной активности не наблюдалось.
    2. При помощи winsockfix было подправлено соединение в интернет.
    3. На каком-то этапе произошел сбой системы, после чего в каталоге
    c:\windows появился файл dump***.*** (звездочки стоят, поскольку
    не помню цифр и расширений), который вроде как соответствует дампу,
    образующемуся при сбоях винды.
    4. Файл появившийся в п. 3 при загрузке винды стал приводит к проверке диска на ошибки. Все время появлялось сообщение о пересекающейся ссылке на этом файл и на этом проверка и исправление зависали.
    5. П. 4 был исправлен с применением загрузочного диска LiveCD
    от philka.ru.
    6. После этого система в обычном режиме стала загружаться, но
    после нескольких минут работы стабильно шла на перезагрузку.
    Зато уже появилась возможность загрузить безопасный режим.
    7. В безопасном режиме был сделан откат и восстановление параметров системы на имевшиеся там 12-дневной давности. Точка восстановления была сделана не вручную, а автоматически самой виндой.
    8. После отката системы на предыдущее состояние 12-дневной давности все заработало стабильно, но spider показывает при каждом подключении к интернет появление на машине в temp каталогах появление библиотек и программ, зараженных троянцами. К тому же наблюдается повышенная активность закачивания чего-то из интернета. При этом в списке запущенных задач обнаруживается одна-две копии ieexplore, которые не отражаются на панели задач.
    При этом, если запустить IE стандартным путем, то он ничего не
    закачивает. Установленная на этом же компе Opera, работает нормально.
    9. Отсюда опять выполнение стандартной процедуры сбора информации при помощи avz. Собранные логи прилагаю.
    10. В дополнение пользователю рекомендовано и объяснено как поставить firewall с ограничителем траффика (программа NetLimiter 2).
    Может хоть сможем отловить того, кто создает траффик на линии.
    Поскольку у пользователя стоит dsl с оплатой по траффику, то неотслеживание может дорогого стоить...

    Жду советов, рекомендаций, помощи.
    Удачи.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\services.exe','');
     QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
     QuarantineFile('C:\WINDOWS\System32\a3dxx.dll','');
     QuarantineFile('C:\WINDOWS\System32\wincom32.sys','');
      QuarantineFile('C:\WINDOWS\System32\msnetax.dll','');
     QuarantineFile('C:\WINDOWS\System32\kernels32.exe','');
     QuarantineFile('C:\WINDOWS\System32\jpnqwmo.dll','');
     QuarantineFile('C:\WINDOWS\System32\dlh9jkd1q7.exe','');
     QuarantineFile('C:\WINDOWS\System32\dlh9jkd1q6.exe','');
     QuarantineFile('C:\WINDOWS\dbmmgr32.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
     QuarantineFile('c:\windows\system32\kernels32.exe','');
     BC_ImportALL;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     AutoFixSPI;
     RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=8783.......


    хороший набор
    надо ещё SP2 поставить на виндовс
    Пусть скачает последнею авз 4.25 , на будущее .
    Последний раз редактировалось drongo; 25.04.2007 в 09:25.

  15. #14
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=8783.......


    хороший набор
    надо ещё SP2 поставить на виндовс
    Пусть скачает последнею авз 4.25 , на будущее .
    Ок, спасибо, попробуем все выполнить по пунктам.

    А приведенный выше код подойдет для avz 4.23 с обновленными базами? По-моему у пользователя эта версия. Или для выполнения скрипта лучше поставить новую версию?

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Новую обязательно.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 25
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\документы\\settings\\bn.dll - Trojan-Proxy.Win32.Xorpix.ar (DrWEB: BackDoor.Uragan)
      2. c:\\docume~1\\paul\\locals~1\\temp\\winlogon.exe - Virus.Win32.Grum.a (DrWEB: Win32.Grum)
      3. c:\\windows\\dbmmgr32.dll - Trojan-Proxy.Win32.Pixoliz.je (DrWEB: Trojan.Spambot)
      4. c:\\windows\\system32\\main.sys - Rootkit.Win32.Agent.el (DrWEB: BackDoor.Bulknet)
      5. c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.m (DrWEB: Trojan.Starter.236)
      6. c:\\windows\\system32\\ws2_32.dll:fork2:$data - Trojan.Win32.Pakes (DrWEB: Trojan.MulDrop.5876)


  • Уважаемый(ая) Dimin75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
      От v119 в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 15.03.2010, 13:56
    2. Ответов: 7
      Последнее сообщение: 01.09.2009, 19:24
    3. Вирусы: trojan.hosts, muldrop.ХХХХ, downloader.ХХХХ
      От Толик в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.08.2009, 13:57
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    5. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01006 seconds with 26 queries