Показано с 1 по 15 из 15.

Опять Trojan-Downloader.Win32.Delf.dbo (заявка № 14635)

  1. #1
    Junior Member Репутация
    Регистрация
    27.11.2007
    Сообщений
    21
    Вес репутации
    38

    Thumbs up Опять Trojan-Downloader.Win32.Delf.dbo

    Здравствуйте. Вот такая беда: обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\usrv80.dll//PE_Patch.UPX//UPX. Касперский пишет: "Лечение невозможно: отсутствуют права на запись". Что можно сделать? Спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\usrv80.dll','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('C:\WINDOWS\system32\a3dx8.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\a5js4fr.dll','');
     QuarantineFile('bqwhmryo.dat','');
     DeleteFile('C:\WINDOWS\system32\a5js4fr.dll');
     DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\usrv80.dll');
     BC_ImportAll;
     BC_QrFile('C:\WINDOWS\system32\fci.exe');
     BC_QrFile('c:\windows\system32\mssrv32.exe');
     BC_DeleteFile('C:\WINDOWS\system32\fci.exe');
     BC_DeleteFile('c:\windows\system32\mssrv32.exe');
     BC_QrSvc('FCI');
     BC_QrSvc('msupdate');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('msupdate');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Карантин пришлите по п.3 Правил

  4. #3
    Junior Member Репутация
    Регистрация
    27.11.2007
    Сообщений
    21
    Вес репутации
    38
    Спасибо. Карантин отправила

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Trojan.Win32.Agent.cid C:\WINDOWS\system32\Drivers\bqwhmryo.dat
    Trojan-Downloader.Win32.Delf.dbo C:\WINDOWS\system32\usrv80.dll
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\Drivers\bqwhmryo.dat');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Затем повторите логи для проверки

  6. #5
    Junior Member Репутация
    Регистрация
    27.11.2007
    Сообщений
    21
    Вес репутации
    38
    Спасибо еще раз. Извините, а что значит повторить логи?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Сделать те же самые логи, которые Вы прикрепляли к Вашему первому посту: hijackthis и т.п.

  8. #7
    Junior Member Репутация
    Регистрация
    27.11.2007
    Сообщений
    21
    Вес репутации
    38
    Ок. Вот они
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Пофиксьте:
    Код:
    O2 - BHO: (no name) - {2D4A6D39-0E58-4F72-B61B-198AA4633303} - C:\WINDOWS\system32\usrv80.dll (file missing)
    O2 - BHO: C:\WINDOWS\system32\a5js4fr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - (no file)
    O8 - Extra context menu item: &Search - ?p=ZRxdm427YYRU
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
    O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\
    Что из этого не нужно?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  10. #9
    Junior Member Репутация
    Регистрация
    27.11.2007
    Сообщений
    21
    Вес репутации
    38
    Все сделала. По поводу того, что не нужно - я в этом не очень разбираюсь, ну судя по содержанию, я думаю, что не нужно вот это:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Что с этим нужно сделать?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Если локальной сети нет, то и административный доступ к дискам можно отключить

  12. #11
    Junior Member Репутация
    Регистрация
    27.11.2007
    Сообщений
    21
    Вес репутации
    38
    Все сделала. По поводу локальной сети - не знаю, у меня 2 компьютера, к одному подключен кабельный модем через usb, ко второму он подключен к сетевой карте. Но это вроде не сеть?... Еще хочу спросить - почему-то не отображаются параметры брандмауэра windows, но может это не связано с вирусами?.. Спасибо.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Брандмауэр Windows - все равно бесполезная вещь Ставьте нормальный полноценный firewall... либо антивирус со встроенным файерволлом

  14. #13
    Junior Member Репутация
    Регистрация
    27.11.2007
    Сообщений
    21
    Вес репутации
    38
    Ок, спасибо большое за вашу помощь.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\bqwhmryo.dat - Trojan.Win32.Agent.cid (DrWEB: Trojan.Sentinel)
      2. c:\\windows\\system32\\usrv80.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.37340)


  • Уважаемый(ая) Катарина, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-Downloader.Win32.Delf.txh
      От Adunkt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.06.2009, 18:52
    2. Trojan-Downloader.Win32.Delf.dsz
      От AKAR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:32
    3. Trojan-Downloader.Win32.Delf.dbo
      От Aika в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:57
    4. Trojan-Downloader.Win32.Delf.cxa
      От Antonon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.09.2008, 12:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01201 seconds with 17 queries