Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 51.

Компьютер заражен трояном Trojan-Downloader.Win32.Delf.dbo (заявка № 14594)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60

    Thumbs up Компьютер заражен трояном Trojan-Downloader.Win32.Delf.dbo

    Kaspersky AV 6.0 нашел в папке System32 зараженный вирусом Trojan-Downloader.Win32.Delf.dbo файл cscu.dll. Не может удалить его - пишет "Файл содержит троянскую программу Trojan-Downloader.Win32.Delf.dbo. Лечение невозможно: отсутствуют права на запись". Троян запускает дублирующий процесс avp.exe (в логах он может отсутствовать т.к. во время работы AVZ Касперский был отключен.

    Вот необходимые файлы

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Базы AVZ надо обновлять!!

    Выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('\SystemRoot\system32\drivers\cqigsjyg.dat','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdrv2.sys','');
     QuarantineFile('C:\WINDOWS\system32\cscu.dll','');
    DeleteFile('C:\WINDOWS\system32\cscu.dll');
    DelCLSID('33331111-1111-1111-1111-615111193427');
    DelCLSID('33331111-1111-1111-1111-611111193423');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.
    Последний раз редактировалось PavelA; 26.11.2007 в 11:33.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60
    спасибо, файл удален!

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин загрузили?

    новые логи надо сделать. Посмотрим, что осталось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60
    еще: в автозагрузке есть неизвестный процесс: dumprep0 -k (%systemroot%\system32\dumprep0 -k;
    и процесс avp в кавычках
    Нужно ли что-то делать?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat','');
     DeleteFile('C:\WINDOWS\system32\drivers\cqigsjyg.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от wheeller Посмотреть сообщение
    еще: в автозагрузке есть неизвестный процесс: dumprep0 -k (%systemroot%\system32\dumprep0 -k;
    и процесс avp в кавычках
    Нужно ли что-то делать?
    Первый - выдача дампа в случае возникновения ошибки.
    Второй - из-за длинной директории с пробелами в имени.

    Добавлено через 1 минуту

    Вот эту ерунду еще надо профиксить:
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    Последний раз редактировалось PavelA; 26.11.2007 в 12:25. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60
    выполняю в AVZ скрипт лечения/карантина и сбора информации для раздела... в процессе комп перезагружается.

    Добавлено через 52 секунды

    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    пофиксил
    Последний раз редактировалось wheeller; 26.11.2007 в 12:49. Причина: Добавлено

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Значит, пришла пора сделать вот это:http://virusinfo.info/showthread.php?t=10387
    Желательно в защищенном режиме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60
    Сделал все по ссылке http://virusinfo.info/showthread.php?t=10387 . Прикрепляю файлы.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполнте скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('c:\windows\system32\drivers\new_drv.sys','');
     DeleteFile('C:\WINDOWS\system32\cscu.dll');
     DelCLSID('59B77E0C-0EC9-4CB9-98C0-B018354DAF82');
     DeleteFile('c:\windows\system32\drivers\new_drv.sys');
     BC_DeleteSvc('new_drv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите каран тин согласно приложения 3 правил...
    повторите лог в SAFE MODE

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если после скрипта V_Bond в карантин ничего не попадет,
    то выполните мой.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_QrFile('C:\windows\system32\drivers\new_drv.sys');
     BC_DeleteFile('C:\windows\system32\drivers\new_drv.sys');
     DeleteFile('C:\WINDOWS\system32\cscu.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.

    Профиксить в hijackthis:
    Код:
    O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing)
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    уберите карантин из темы ... не положено ... к тому же он старый ... и там ничего интересного ...
    давайте новый лог ...

  15. #14
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60
    1.Выполнил скрипт,
    2.пофиксил (не нашел строку O2 - BHO: (no name) - {59B77E0C-0EC9-4CB9-98C0-B018354DAF82} - C:\WINDOWS\system32\cscu.dll (file missing))


    беспокоит (может зря) что avp.exe присутствует дважды в процессах под SYSTEM и именем пользователя

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    нужен лог AVZ в SAFE MODE

  17. #16
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    нужен лог AVZ в SAFE MODE
    как это сделать?запустить сканирование AVZ в SAFE MODE?

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    AVP бывает и трижды в процессах может присутствовать. Это нормально.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    как это сделать?запустить сканирование AVZ в SAFE MODE?
    http://virusinfo.info/showthread.php?t=10387

  20. #19
    Junior Member Репутация
    Регистрация
    26.11.2007
    Сообщений
    123
    Вес репутации
    60
    запустил сканирование AVZ в SAFE MODE
    вот что получилось:

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    все что хотели убрать -убрали ....
    какие-то проблемы остались ? ....

  • Уважаемый(ая) wheeller, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Заражен трояном Trojan-GameThief.Win32.Magania.*
      От Gesserok в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.01.2010, 16:42
    2. Trojan-Downloader.Win32.Delf.dsz
      От AKAR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:32
    3. Компьютер заражен Backdoor.Win32.Delf.aws
      От temnovdn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2008, 10:35
    4. Trojan-Downloader.Win32.Delf.cxa
      От Antonon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.09.2008, 13:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00720 seconds with 17 queries