Неизвестный роян

Printable View

30.03.2008, 23:45
filipok

Вложений: 3

Неизвестный роян

Вообщем поймал я трояна походу.

Вылетает окно - "System Error!" с текстом "Your computer was infected by unknown trojan. It's dangerous for your system (critical files can be lost). Click OK to download the antispyware program to clean your system (Recomended)
при нажатии на "да" пытается слить файл setupX.exe где X - порядковый номер соответствующий количеству нажатых "да" (проверено эксперементально)

пробовал убить NODом - ничего не видит, spyBot - видит какойто троян удаляет его но всё появляется снова (табличка с сообщением)
AVZ - находит какието трояны и setup1.exe (жена успела один файл загрузить) - типа всё удаляет но проблема остаётся (хотя теперь загружать просит просто setup.exe при нажатии "да" в вышеописанном окне)

вообщем последовал вашим правилам - залил логи (тока логи после 3-го прогона, тоесть в последующие разы AVZ уже ничего не находил а проблема вроде как есть 8()

ну надеюсь вы сможете мне помочь даже в таком случае, очень надеюсь.

Заранее огромное спасибо.
30.03.2008, 23:58
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\dsaip32b.dll','');
QuarantineFile('c:\windows\system32\cftmon.exe','');
DelBHO('{687A466A-D7CB-4FDF-965C-92462A82D7F0}');
DeleteFile('C:\WINDOWS\dsaip32b.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
31.03.2008, 22:49
filipok

Вложений: 3

Доброго времени суток, вроде всё удалилось, по крайней мере талбичка не вылетает. Хотя я по началу даже и не понял чем вредит cftmon.exe, тока потом заметил что буквы местами поменены 8)
гад круто замоскировался, а я уж думал как он проник в автозагрузку.

Тока cftmon.exe из автозагрузки не убирался, пришлось ручками.

Логи прилогаю, СПАСИБО 8)
31.03.2008, 23:01
V_Bond

пофиксите ...
[code]
O2 - BHO: Media Player Codec - {687A466A-D7CB-4FDF-965C-92462A82D7F0} - C:\WINDOWS\dsaip32b.dll (file missing)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
[/code]
выполните скрипт .....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{687A466A-D7CB-4FDF-965C-92462A82D7F0}');
DeleteFile('C:\WINDOWS\dsaip32b.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ....
01.04.2008, 22:45
filipok

Вложений: 2

Фсё сделал, фсё высылаю.......
01.04.2008, 22:51
V_Bond

в логах ничего подозрительного ....
какие-то проблемы остались ?
01.04.2008, 23:13
filipok

ну что то в последней проверке АВЗ было много красных строк, на против некоторых было написано что безопасные приложения (это фаервол, вчера поставил)
а остальные просто были выделены красным.

А так явных признаков вируса с окном (давайте я так его назову 8)) нет, по крайней мере в фаервол кроме стандартных прог никто не стучится.

Обновил базы нода (это у меня происходит по воскресениям 8)) после сканирования нашёл ещё пару подозрительных файлов, вроде удалил 8)
могу прислать имя заразы после перезагрузки (а то всё выгрузил когда логи делал)

вроде всё, замечаний нет 8) Спасибо
Есть тока вопрос а откуда вы знаете что есть зараза и как её выкавыривать?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Вот C:\Documents and Settings\Anton\Local Settings\Temp\file795.exe Win32/Adware.IeDefender.NCM

и ещё после перезагрузки когда винда пишет "Лог Офф" вылетает мессага что то типа того что не может завершить работу драйвера диска А:
ну это НАВЕРНОЕ не вирус 8)

Вообщем спасибо огромное за то что избавили от нудной переустановки системы (я уже было сибирался), ну и от вируса конечно (что в принципе равносильно) 8)
01.04.2008, 23:19
V_Bond

[QUOTE=filipok;209438]ну что то в последней проверке АВЗ было много красных строк, на против некоторых было написано что безопасные приложения (это фаервол, вчера поставил)
а остальные просто были выделены красным.
[/QUOTE]
это нормально ...
[QUOTE=filipok;209438]
и ещё после перезагрузки когда винда пишет "Лог Офф" вылетает мессага что то типа того что не может завершить работу драйвера диска А:
ну это НАВЕРНОЕ не вирус 8)
[/QUOTE]
попробуйте оключить А: в биос ...
02.04.2008, 09:17
filipok

так я им пользуюсь (бивиса перепрошить например), конечно бывает не часто но всётаки
02.04.2008, 09:21
V_Bond

отключите временно ... проблема должна исчезнуть ...
02.04.2008, 09:39
filipok

убрал, всё прошло (ну по крайней мере не выдало сообщение после перезагрузки, правда она и так его выдавала не всегда)

спасибо

так всё таки откуда вы знаете что зараза а что нет?
02.04.2008, 09:51
wise-wistful

"И опыт сын ошибо трудных,
И гений, парадоксов друг.." :)

Нам интересно Ваше [url=http://virusinfo.info/showthread.php?t=19883]мнение[/url] о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать [url="http://security-advisory.virusinfo.info/"]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи и чистого Вам интернета ;)
22.02.2009, 04:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\dsaip32b.dll - [B]Hoax.Win32.Renos.bhw[/B] (DrWEB: Trojan.DownLoader.54115)[*] c:\\windows\\system32\\cftmon.exe - [B]Trojan-Clicker.Win32.Agent.wt[/B] (DrWEB: Trojan.Packed.194)[/LIST][/LIST]