Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Словил Trojan.DownLoader.35206, теперь не могу удалить (заявка № 14048)

  1. #1
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38

    Thumbs up Словил Trojan.DownLoader.35206, теперь не могу удалить

    После обновления баз DrWeb'a SpiderGuard изловил Trojan.DownLoader.35206, который маскировался под C:\Windows\system32\Iexplorer.exe. Я его удалил, почистил ветку Run реестра, из которой запускался вирь, но после перезагрузки все восстанавливается как было и SpiderGuard опять его ловит. Проверил все диски DrWeb'ом, а он ничего не нашел, т.к. Iexplorer.exe уже удален spider'ом. Как мне избавиться от этой гадости?
    P.S. запрошенные файлы отправил, но где они что-то не вижу.
    Вложения Вложения
    Последний раз редактировалось DeAL; 10.11.2007 в 18:22.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\IntEdReg.exe','');
     QuarantineFile('C:\WINDOWS\system32\Iexplore.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил

    Добавлено через 31 минуту

    Карантин получен, там только IntEdReg.exe - он чистый.
    Остальных двух в системе нет.

    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [iexplorer] C:\WINDOWS\system32\Iexplore.exe
    O21 - SSODL: UpdateCheck - {4938E36F-C244-4502-AFA6-27D05E40BF42} - C:\WINDOWS\system32\mstmdm.dll (file missing)
    Перезагрузитесь и повторите лог HijackThis.
    Последний раз редактировалось Bratez; 10.11.2007 в 18:25. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    Вот новый лог HijackThis http://virusinfo.info/attachment.php...1&d=1194709647
    Последний раз редактировалось DeAL; 10.11.2007 в 18:56.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ссылка не работает. Прикрепите через "Управление вложениями".
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    А вот так?
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Так все ОК.
    И действительно, этот Iexplore.exe опять торчит в автозапуске!
    Давайте попробуем удалить таким скриптом:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\Iexplore.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    После выполнения скрипта результат такой же. Вот логи.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Попробуем так.
    Сначала пофиксьте:
    Код:
    O4 - HKLM\..\Run: [iexplorer] C:\WINDOWS\system32\Iexplore.exe
    Затем, не перегружаясь, выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\Iexplore.exe');
     BC_ImportDeletedList; 
     BC_DeleteFile('C:\WINDOWS\system32\Iexplore.exe');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Затем повторите лог hijackthis и syscheck

  10. #9
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    Попробовал и так, ситуация не изменилась, логи прикладываю. А можно прокомментировать скрипты, а то складывается впечатление, что боремся со следствием, а не с причиной появления этого Iexplore.exe?
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    отключите антивирус ... и выполните операции из поста 8 ... повторит лог hijackthis

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Сделайте лог AVZ как написано тут:
    http://virusinfo.info/showpost.php?p=115905&postcount=1

  13. #12
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    отключите антивирус ... и выполните операции из поста 8 ... повторит лог hijackthis
    сделал
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Сделайте лог AVZ как написано тут:
    http://virusinfo.info/showpost.php?p=115905&postcount=1
    сделал avz_sysinfo.zip в безопасном режиме
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Мистика! Но по-моему восстанавливается только ключ автозапуска, а самого файла таки нет. Что за программа Intense Registry Service? -
    Код:
    O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK
    Может это она реестр восстанавливает?
    I am not young enough to know everything...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Отключитесь от Интернета.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SearchRootkit(true, true);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\kbdclasy.sys','');
     QuarantineFile('C:\WINDOWS\system32\slicedisk.sys','');
     BC_ImportAll;
     BC_Activate; 
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил).

    Добавлено через 5 минут

    DeAL, как временную меру можно настроить Spider Guard на действие для зараженных объектов - Лечить. Тогда файл будет удаляться, а не блокироваться как сейчас.
    Последний раз редактировалось AndreyKa; 11.11.2007 в 14:41. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    Цитата Сообщение от Bratez Посмотреть сообщение
    Мистика! Но по-моему восстанавливается только ключ автозапуска, а самого файла таки нет.
    Если Вы про файл Iexplore.exe, то его сразу после каждой перезагрузки удаляет SpiderGuard, но он каждый раз восстанавливается, т.е. его какая-то гадина создает заново.
    Цитата Сообщение от Bratez Посмотреть сообщение
    Что за программа Intense Registry Service? -
    Код:
    O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK
    Может это она реестр восстанавливает?
    А это что я не знаю, если это не виндовый файл - могу удалить.
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Закройте все программы.
    Отключитесь от Интернета.
    Выполните скрипт через меню Файл:
    Карантин выслал.
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    DeAL, как временную меру можно настроить Spider Guard на действие для зараженных объектов - Лечить. Тогда файл будет удаляться, а не блокироваться как сейчас.
    Так у меня после загрузки выскакивет окно спайдера, где есть выбор лечить, удалить, переименовать и т.д., я жму удалить, что он и делает успешно, но затем вирь вновь появляется и спайдер его блокирует.
    Вот часть лога спайдера:
    11-11-2007 13:28:59 [PS] C:\WINDOWS\system32\Iexplore.exe - инфицирован Trojan.DownLoader.35206
    11-11-2007 13:28:59 [PS] C:\WINDOWS\system32\Iexplore.exe - доступ к файлу запрещен
    11-11-2007 13:30:55 [BG] D:\Program Files\Internet\ReGetDx\regetdx.exe - ошибка распаковки
    11-11-2007 13:32:37 [BG] C:\WINDOWS\system32\Iexplore.exe - инфицирован Trojan.DownLoader.35206
    11-11-2007 13:33:08 [BG] C:\WINDOWS\system32\Iexplore.exe - удален
    Последний раз редактировалось DeAL; 11.11.2007 в 15:30.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Выполните скрипт через меню Файл:
    Код:
    begin
     ClearQuarantine;
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\DRIVERS\kbdclasy.sys');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
     RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.

    Добавлено через 1 минуту

    C:\WINDOWS\system32\DRIVERS\kbdclasy.sys - Trojan-Downloader.Win32.Agent.dph (KAV)
    Последний раз редактировалось AndreyKa; 11.11.2007 в 15:33. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Закройте все программы.
    Выполните скрипт через меню Файл:
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
    Добавлено через 1 минуту
    C:\WINDOWS\system32\DRIVERS\kbdclasy.sys - Trojan-Downloader.Win32.Agent.dph (KAV)
    Скрипт выполнил, похоже проблема решилась. Окончательные логи прикладываю.
    Всем принявшим участие огромное спасибо.
    Вложения Вложения

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\Iexplore.exe','');
     DeleteFile('C:\WINDOWS\system32\Iexplore.exe');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Сейчас должно удалиться...

  20. #19
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    17
    Вес репутации
    38
    Цитата Сообщение от rubin Посмотреть сообщение
    Сейчас должно удалиться...
    Дык его уже нету и не восстанавливается . А в логах AVZ остался автозапуск из реестра, который я затем пофиксил в HijackThis.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Тогда все чисто
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    Что Вам не требуется?

  • Уважаемый(ая) DeAL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 13.01.2012, 18:53
    2. Словил порнобаннер. Теперь ктото живет.
      От roman_v в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.06.2010, 13:29
    3. Не могу удалить Trojan-Downloader.Win32.Mutant.aim
      От Alex7722 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:09
    4. Trojan.NtRootkit.453 и Trojan.DownLoader.35206
      От Pavel Taranenko в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:38
    5. Не могу удалить --- Trojan.DownLoader.35837
      От Sava в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.01.2008, 17:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01398 seconds with 17 queries