Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Trojan-Downloader.Win32.Small.etc (заявка № 10694)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42

    Thumbs up Trojan-Downloader.Win32.Small.etc

    В процессе работы возникают следующие неполадки: при открытии диска запускается авторан, невозможно включить показ скрытых файлов и папок (просто нет такого пункта)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    С помощью AVZ (Сервис - Поиск файлов на диске)
    найдите и добавьте в карантин файл:
    C:\WINDOWS\system32\Deleteme.vbs
    Пришлите все содержимое карантина согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    файл выслала

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    А где же C:\WINDOWS\system32\Deleteme.vbs ? Не нашли?
    Еще поищите с помощью AVZ и пришлите файл ielp.exe.
    После этого напишу скрипт лечения.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    avz пишет такое:
    Ошибка карантина файла "C:\ielp.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    то же самое с deleteme.rbs

  8. #7
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    При попытке открыть диск, запускается процесс worm.exe, который потом создает файл C:\ielp.exe и запускает его, а потом еще C:\WINDOWS\system32\KEDLL.exe и тоже запускает

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\worm.exe');
    DeleteFile('c:\windows\system32\deleteme.vbs');
    DeleteFile('c:\ielp.exe');
    DeleteFile('C:\autorun.*');
    DeleteFile('C:\windows\system32\autorun.*');
    DeleteFile('D:\autorun.*');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\Deleteme.vbs
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
    Потом выполните еще один скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2');
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    (будет перезагрузка).
    После этого сделайте новые логи.

    C:\WINDOWS\system32\KEDLL.exe нигде не фигурирует.
    Поищите его через AVZ, если найдется - пришлите по правилам.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    новые логи
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    Диски открываются нормально, остается проблема с отображением скрытых файлов

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Остались autorun.inf, остальных компонентов не видно.
    Выполните такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFile('c:\ielp.exe');
    DeleteFile('D:\ielp.exe');
    DeleteFile('C:\autorun.*');
    DeleteFile('C:\windows\system32\autorun.*');
    DeleteFile('D:\autorun.*');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки включите в проводнике показ скрытых и системных файлов (пункт меню должен уже появиться) и убедитесь в отсутствии autorun.inf на C: и D:
    Аккуратно проверьте все съемные носители, как описано в этой статье.
    I am not young enough to know everything...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Если по-прежнему не удается включить показ скрытых и системных, попробуйте в AVZ: Файл - Восстановление системы - отметить п.5,6,8 - Выполнить.

  14. #13
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    Все равно просмотреть скрытые файлы невозможно. Прикладываю логи и карантин с др. машины - там те же проблемы (скорей всего с нее и пошло распространение через флешку). В карантине есть файл KEDLL.exe, ielp.exe, iehelp.exe
    Изображения Изображения
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    Карантин получился довольно большим -482кБ. Через прикрепление файлов не отправляется. Отправить его через "Прислать запрашиваемые файлы" ?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Отправить его через "Прислать запрашиваемые файлы" ?
    Да, и только так! Но если это все о другом компьютере, надо открыть новую тему и все делать там.

    По разблокировке пункта меню я сейчас поищу, где-то видел информацию, просто ключик в реестре поправить надо будет.
    I am not young enough to know everything...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Так и не смог найти, как разблокировать этот флажок
    Попробуйте импортировать в реестр вот это, флажок может и не появится, а скрытые файлы увидятся:
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000001
    "SuperHidden"=dword:00000001
    "ShowSuperHidden"=dword:00000001
    (скопировать все что в рамочке в текстовый файл и сохранить его с расширением .reg, потом по нему двойной щелчок. Сможете?)

  18. #17
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    попробую

  19. #18
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    42
    по скрытому файлу autorun.inf в корне каждого диска. Кроме того, все время стали появляться окна создания паспорт.net и live ID

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    по скрытому файлу autorun.inf в корне каждого диска.
    Если удалить руками - появляются снова?

    стали появляться окна создания паспорт.net и live ID
    Уберите мессенджер из автозапуска, в его настройках либо пофиксите
    Код:
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    I am not young enough to know everything...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    До сих пор "авторановые" вирусы лечились легко, а ваш прямо ну очень живучий и заковыристый Если файлы появятся после удаления, то делаем перерыв, надо поискать о нем сведения.

    А логи от другого компьютера вынесите все-таки в отдельную тему чтобы не путаться, там кстати зоопарк еще тот

  • Уважаемый(ая) Tasha9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan-Downloader.Win32.Small.uhr
      От Ивпал в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 05:31
    2. Trojan-downloader.win32.small.tra
      От lak в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 05:03
    3. Trojan-downloader.win32.small.eih
      От petruxa в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:40
    4. Trojan-Downloader.Win32.Small.jcc
      От Julia_K72 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.01.2009, 17:21
    5. Trojan-Downloader.Win32.Small.tra
      От Hard Soda в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2008, 19:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01069 seconds with 17 queries