Компьютер заражен трояном Trojan-Downloader.Win32.Delf.dbo
Kaspersky AV 6.0 нашел в папке System32 зараженный вирусом Trojan-Downloader.Win32.Delf.dbo файл cscu.dll. Не может удалить его - пишет "Файл содержит троянскую программу Trojan-Downloader.Win32.Delf.dbo. Лечение невозможно: отсутствуют права на запись". Троян запускает дублирующий процесс avp.exe (в логах он может отсутствовать т.к. во время работы AVZ Касперский был отключен.
Вот необходимые файлы
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Базы AVZ надо обновлять!!
Выполнить скрипт:
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\SystemRoot\system32\drivers\cqigsjyg.dat',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdrv2.sys',''); QuarantineFile('C:\WINDOWS\system32\cscu.dll',''); DeleteFile('C:\WINDOWS\system32\cscu.dll'); DelCLSID('33331111-1111-1111-1111-615111193427'); DelCLSID('33331111-1111-1111-1111-611111193423'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 26.11.2007 в 11:33.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо, файл удален!
Карантин загрузили?
новые логи надо сделать. Посмотрим, что осталось.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
еще: в автозагрузке есть неизвестный процесс: dumprep0 -k (%systemroot%\system32\dumprep0 -k;
и процесс avp в кавычках
Нужно ли что-то делать?
Выполните скрипт:
Сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat',''); DeleteFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Первый - выдача дампа в случае возникновения ошибки.Сообщение от wheeller
Второй - из-за длинной директории с пробелами в имени.
Добавлено через 1 минуту
Вот эту ерунду еще надо профиксить:
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
Последний раз редактировалось PavelA; 26.11.2007 в 12:25. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
выполняю в AVZ скрипт лечения/карантина и сбора информации для раздела... в процессе комп перезагружается.
Добавлено через 52 секунды
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
пофиксил
Последний раз редактировалось wheeller; 26.11.2007 в 12:49. Причина: Добавлено
Значит, пришла пора сделать вот это:http://virusinfo.info/showthread.php?t=10387
Желательно в защищенном режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал все по ссылке http://virusinfo.info/showthread.php?t=10387 . Прикрепляю файлы.
выполнте скрипт...
пришлите каран тин согласно приложения 3 правил...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('c:\windows\system32\drivers\new_drv.sys',''); DeleteFile('C:\WINDOWS\system32\cscu.dll'); DelCLSID('59B77E0C-0EC9-4CB9-98C0-B018354DAF82'); DeleteFile('c:\windows\system32\drivers\new_drv.sys'); BC_DeleteSvc('new_drv'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите лог в SAFE MODE
Если после скрипта V_Bond в карантин ничего не попадет,
то выполните мой.
Выполнить скрипт:
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrFile('C:\windows\system32\drivers\new_drv.sys'); BC_DeleteFile('C:\windows\system32\drivers\new_drv.sys'); DeleteFile('C:\WINDOWS\system32\cscu.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Профиксить в hijackthis:
Код:O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing) O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
уберите карантин из темы ... не положено ... к тому же он старый ... и там ничего интересного ...
давайте новый лог ...
1.Выполнил скрипт,
2.пофиксил (не нашел строку O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing))
беспокоит (может зря) что avp.exe присутствует дважды в процессах под SYSTEM и именем пользователя
нужен лог AVZ в SAFE MODE
как это сделать?запустить сканирование AVZ в SAFE MODE?
AVP бывает и трижды в процессах может присутствовать. Это нормально.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
http://virusinfo.info/showthread.php?t=10387как это сделать?запустить сканирование AVZ в SAFE MODE?
запустил сканирование AVZ в SAFE MODE
вот что получилось:
все что хотели убрать -убрали ....
какие-то проблемы остались ? ....
Уважаемый(ая) wheeller, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
