Подозрение на Trojan.Dloader

Printable View

06.07.2007, 11:06
Rogoff

Подозрение на Trojan.Dloader

Dr.Web выдает подозрение на Trojan.Dloader в папке временыых файлов Эксплорера (html-файл), сразу за этим выдает подозрение на Trojan.Dloader в папке временных файлов пользователя (exe-файл).

Логи прилагаю
06.07.2007, 11:16
Kuzz

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\gejd9j3jr.dll','');
DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll');
DeleteFile(' c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]:
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: C:\WINDOWS\system32\gejd9j3jr.dll - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll
O23 - Service: MicrosoftHelp - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE (file missing)
O23 - Service: Performance Monitor Command Line Shell (Performance Monitor) - Unknown owner - C:\WINDOWS\perfmon.exe (file missing)[/CODE]
06.07.2007, 12:30
Rogoff

Карантин отправил.

Файл сохранён как 070706_122825_virus_468dfd29b8101.zip
Размер файла 57722
MD5 472a2a7c72333be987151d367a267321

строки пофиксил
06.07.2007, 13:12
AndreyKa

Присланные файлы:
c:\windows\system32\svchost.exe:ext.exe:$DATA - Trojan.Win32.Obfuscated.gp
C:\WINDOWS\system32\gejd9j3jr.dll - Trojan-Downloader.Win32.Small.ddx

[B]Rogoff[/B], обновите базы AVZ и сделайте логи заново, для того, чтобы убедится что файлы удалены.
Dr.Web, по идее, больше ругаться не должен.
10.07.2007, 06:10
Rogoff

обновил АВЗ, проверил, похоже что-то осталось
10.07.2007, 07:42
Muzzle

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\Program Files\Hijackthis\backups\backup-20070706-172628-401.dll');
BC_DeleteSvc('MicrosoftHelp');
BC_DeleteFile('C:\WINDOWS\system32\SVCH0ST.EXE');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

пофиксите
[CODE]O2 - BHO: (no name) - {20AD49A2-94F3-42bD-F434-2604812C897C} - (no file)[/CODE]
повторите логи.
10.07.2007, 09:54
Rogoff

Странное дело, после выполнения скрипта, АВЗ снова находит вирусы. Может нужно под учетной записью с полными правами комп проверить? Потому что [URL="http://virusinfo.info/attachment.php?attachmentid=13555&stc=1&d=1184046667"]hijackthis[/URL] ругается при сканировании...
10.07.2007, 10:37
drongo

Ничего странного нет, если запускать AVZ под юзером с ограниченными правами, то драйвер его не загрузиться, стало быть AVZ не справиться ;)
"у нас все ходы записаны :)"
[code]
Ошибка загрузки драйвера - проверка прервана [C0000061]
[/code]
запускайте AVZ с админскими правами (Run As...) и тогда уже скрипты лечения запускать .
11.07.2007, 11:15
Rogoff

сделано
11.07.2007, 11:26
Muzzle

Всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!
11.07.2007, 12:17
Rogoff

Большое спасибо! Завтра постараюсь собрать файлы для базы.
13.07.2007, 07:17
Rogoff

Закачал:

Файл сохранён как 070713_063056_virusinfo_files_OP2_4696e3e026765.zip
Размер файла 847086
MD5 9fa15b2774b997f0e3f93a5867278f28

Смущает меня наличие красных записей в протоколе АВЗ в процессе выполнения скрипта по сбору файлов для базы. Или это нормально?