Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

как избавиться от Trojan-Downloader.Win32.Delf.dbo (заявка № 14653)

  1. #1
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37

    Exclamation как избавиться от Trojan-Downloader.Win32.Delf.dbo

    обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\adsnd.dll//PE_Patch.UPX//UPX
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    840
    1.В avz выполнить скрипт:
    Код:
    begin
     QuarantineFile('%WinDir%\Temp\startdrv.exe','');
     QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
     QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
     QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
     DeleteFile('%Windir%\Temp\startdrv.exe');
     DeleteFile('%Windir%\system32\drivers\runtime2.sys');
     DeleteFile('%Windir%\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.В avz выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('fire.scr','');
     QuarantineFile('C:\WINDOWS\system32\svchf8x.dll','');
     QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
     QuarantineFile('C:\WINDOWS\system32\SiSPower.dll','');
     QuarantineFile('\SystemRoot\system32\drivers\kxraunwa.dat','');
     QuarantineFile('C:\WINDOWS\system32\adsnd.dll','');
     DeleteFile('C:\WINDOWS\system32\adsnd.dll');
     DeleteFile('C:\WINDOWS\system32\svchf8x.dll');
     DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3.Пофиксить в HiJackThis (Что останется)
    Код:
    O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll
    O3 - Toolbar: Starware Screensavers Toolbar - {9FB3908C-6565-4CB0-95F8-E9F85258723C} - (no file)
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
    O4 - HKUS\S-1-5-21-299502267-562591055-725345543-1003\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe (User '?')
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - 
    O20 - AppInit_DLLs: C:\WINDOWS\system32\svchf8x.dll
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)
    4.Выслать карантин согласно приложению 3 правил

    5.Повторить логи

  4. #3
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37

    карантин выслан, теперь шлю логи

    Надеюсь, что все сделано правильно !
    Спасибо огромное за помощь!
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    c:\windows\system32\adsnd.dll Trojan-Downloader.Win32.Delf.dbo
    C:\WINDOWS\system32\drivers\kxraunwa.dat Rootrit.Win32.Agent.pk
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      DeleteFile('c:\windows\system32\adsnd.dll');   
      DeleteFile('C:\WINDOWS\system32\drivers\kxraunwa.dat');     
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пофиксите
    Код:
    O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
    повторите логи ....

  6. #5
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37

    Троян удален! СПАСИБО!

    То что вы делаете - это реальная помощь....

    Только у меня не было в списке:
    O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
    это нормально?

    повторяю логи...

    P.S. еще вопрос... как быть теперь с восстановлением системы, оно же было отключено согласно пункту 7. (Отключите восстановление системы (Windows Me/XP). *смотрите далее Приложение 1.). Нужно вернуть настройки обратно?
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах теперь чисто ....
    восстановление системы можно включить ...

  8. #7
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37
    УРРРРРРРАААААААААА........!!!!!!!!радость переполняет меня !
    СПАСИБО ЕЩЕ РАЗ за помощь!!!! ЭТО КРУТО!
    вот уж не думала, что мне кто-то поможет !


    теперь можно просто пользоваться касперским?
    или нужно еще что-то делать, чтобы быть в полной уверенности, что комп чист?????
    кстати, у меня уже давно выскакивает сообщение при выключении компа "СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ" со звуком "ТАМ!"... а потом звук выключения винды та-да-да-дам...
    что это может быть???? ЭТО СТРАШНО?????

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ .... дальше должно идти имя файла какое ?
    система не может остановить какое-то приложение ...

  10. #9
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37
    я сейчас перезагружу комп и посмотрю что он мне там пишет!

    Добавлено через 14 минут

    хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо ! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить !

    Добавлено через 1 минуту

    хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо ! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить !

    Добавлено через 14 минут

    ах ... рано обрадовалась.. решила еще раз перезагрузить комп и выскачило сообщение "сбой при инициализации приложения..." а дальше не успеваю прочитать.... очень быстро табличка выскакивает и выключается комп...
    что делать?
    Последний раз редактировалось lerriuqs; 29.11.2007 в 00:48. Причина: Добавлено

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    не думаю что это что-то плохое .... так система может ругаться например на.... антивирус ...

  12. #11
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37
    понятненько....
    у вас тут конечно очень хорошо... но лучше не иметь нужды к вам обращаться !

    но у меня тут опять вопрос созрел! я запустила касперского сделала полную проверку всего компа и у меня (при включеном каспере) перестал запускаться Exploler . Выключаю каспера - все нормально. вот и сейчас пришлось выключить каспера, чтобы вам написать. иииииии...... КАК БЫТЬ!? ПОМОГИТЕ! ПЛИЗЗЗЗЗЗЗ........ Вся надежда на вас !!!!!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    В логах помимо Каспера еще видны куски Симантека и даже Панды. Надо бы это зачистить... Сейчас напишу скрипт.

    Добавлено через 5 минут

    Вот скрипт, выполните его в безопасном режиме:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
     DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
     DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('PavPrSrv');
    ExecuteSysClean;
    ExecutRepair(5);
    ExecutRepair(6);
    ExecutRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось Bratez; 29.11.2007 в 03:37. Причина: дополнил скрипт
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37
    а как это в безопасном режиме?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    а как это в безопасном режиме?
    http://virusinfo.info/showthread.php?t=9279
    I am not young enough to know everything...

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Когда включает компьютер, давите F8. Если попадете, то высветится меню с вариантами. Надо выбрать там "Safe Mode" или "защищ. режим".

    В "Панели управление" "установка и удаление программ" посмотрите не осталось ли там остатков Панды и Симантека. Если что-то осталось, то деинсталлировать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37
    спасибо! буду действовать !

    Добавлено через 56 минут

    в безопасном режиме не удалось выполнить скрипт .
    пишет:
    Ошибка скрипта: Undeclared identifier: 'ExecutRepair', позиция [11:13]
    В "установка и удаление программ" ничего не нашла, ни Панды, ни Симантека.
    При запуске Exploler каспер выдает сообщение:
    ! ПРОАКТИВНАЯ ЗАЩИТА
    попытка загрузки нового или измененного модуля
    MSOXMLMF.DLL
    подозрительное действие:
    integrity vidation
    процесс (PID:2976)
    C:\Program Files\Internet Explorer\iexplorer.exe
    предлагает действия:
    -разрешить
    -запретить
    -добавить в общий список
    Последний раз редактировалось lerriuqs; 29.11.2007 в 15:17. Причина: Добавлено

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Поправил. Можно выполнять.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
     DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
     DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('PavPrSrv');
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    Добавлено через 1 минуту

    Библиотечка для The Microsoft Office XML MIME filter, так что можно разрешить.
    Последний раз редактировалось PavelA; 29.11.2007 в 15:25. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37
    скрипт выполнила!

    Добавлено через 2 минуты

    Exploler не хочет грузится когда каспер работает...
    я в шоке
    Последний раз редактировалось lerriuqs; 29.11.2007 в 16:09. Причина: Добавлено

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    какие-то проблемы остались ?

  21. #20
    Junior Member Репутация
    Регистрация
    28.11.2007
    Сообщений
    22
    Вес репутации
    37
    так в том то и дело, что я не могу зайти в интернет, когда работпет касперский, отключаю его и только тогда могу зайти на ваш форум

  • Уважаемый(ая) lerriuqs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Trojan-Downloader.Win32.Delf.txh
      От Adunkt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.06.2009, 19:52
    2. Trojan-Downloader.Win32.Delf.dsz
      От AKAR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:32
    3. Trojan-Downloader.Win32.Delf.cxa
      От Antonon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.09.2008, 13:13
    4. Trojan-Downloader.Win32.Delf.cxa
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 31.05.2008, 23:01
    5. Trojan-Downloader.Win32.Delf.dbo
      От wheeller в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.11.2007, 02:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00883 seconds with 17 queries