Показано с 1 по 16 из 16.

Поселился DownLoader (заявка № 17059)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40

    Thumbs up Поселился DownLoader

    Проблемы на компьютере дочери. При включении сети начинается активный обмен с инетом, DrWeb 4.44 в этот момент обычно находит Trojan.Downliader.39204.
    При включенной сети в процессах иногда появляется IEXPLORE.EXE (стоит Maxton), процессор сильно грузится и идет обмен с инетом.
    AVZ 4.29 находит и удаляет Email-Worm.Win32.Agent, спустя некоторое время он снова появляется. При открытии флешки или CD иногда система на некоторое время зависает, System в это время грузит процессор на 99%. Один раз на флешке обнаружил файлы вируса Trojan.Downloader.36484.
    DrWeb 4.44 на этом компе не видит их, хотя на других компах он это троян обнаруживает.
    Стоит DrWeb 4.44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    Ищу как отправить, думал после отправки сообщения можно добавить логи, а теперь как

  5. #4
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    Кажется нашел
    Вложения Вложения

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Iot84');
     StopService('Elr85');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Elr85.sys','');
     QuarantineFile('C:\WINDOWS\Iot84.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_ImportALL;
     BC_QrFile('C:\WINDOWS\System32\Drivers\Elr85.sys');
     BC_QrFile('C:\WINDOWS\System32\Drivers\Elr85.sys');
     BC_QrSvc('Iot84');
     BC_QrSvc('Elr85');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17059
    Microsoft Most Valuable Professional in Consumer Security

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Затем выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Elr85');
     StopService('Iot84');
     StopService('smtpdrv');
     SetServiceStart('smtpdrv', 4);
     SetServiceStart('Iot84', 4);
     SetServiceStart('Elr85', 4);
     DeleteFile('C:\WINDOWS\system32\Drivers\Elr85.sys');
     DeleteFile('C:\WINDOWS\Iot84.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iot84.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportALL;
    BC_DeleteSvc('Iot84');
    BC_DeleteSvc('Elr85');
    BC_DeleteSvc('smtpdrv');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    Не помогло. Восстановление системы было выключено.
    После лечения HijackThis удаляемый код на месте.
    После перезагрузки система говорит, что восстановлена после серьезной ошибки (уточняю, восстановление выключено). При включении сети DrWeb отлавливает троян.

    Попробую второй скрипт

  9. #8
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    Пофиксил HijackThis и выполнил второй скрипт, строчки с ntos.exe не стало.
    После перезагрузки, попробовал включить сеть, система вылетела с сообщением - неожиданная остановка служб серверных приложений DCOM (кажется так).
    Что то не то. DrWeb по прежнему не видит на флешке Trojan.Downloader.36484 (храню в отдельной папке для теста). Базы почти последние. Другой комп с этими базами его видит.
    При включении сети много пакетов шлется в инет.
    Новые логи прилагаю
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Стало существенно чище, но кое-что осталось.

    Выполните такой скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Elr85\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Elr85.sys');
     BC_QrFile('G:\autorun.inf');
     BC_DeleteSvc('Elr85');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Elr85.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите весь карантин через эту форму:
    http://virusinfo.info/upload_virus.php?tid=17059

    Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    Сделал. Карантин загрузил (Файл сохранён как080127_082807_virus_479c94f738577.zip). Тормозов при открытии флешки или CD вроде нет. С сетью все так же, шлются пакеты. Трояна на флешке ДрВеб по прежнему не видит.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Диск G: это флэшка или CD/DVD?
    Сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    G: это DVD, дочь в Симсов играет. Логом сейчас займусь.

    Добавлено через 3 минуты

    Ошибся это флешка. Блин, там прописались какие то скрытые файлы. ДрВеб их на моем компе не признает. Еще и свой комп лечить придется .
    Последний раз редактировалось Arcand; 27.01.2008 в 17:47. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    Переустановил ДрВеб 4.44 с последними базами.
    Проверил папку Windows, вирусов не обнаружено.
    На флешке обнаружился BackDoor.Bulknet.132, На CD с Симсами в авторуне сидит Trojan.Downloader.origin.
    Остается впечатление, что в системе сидит какая-то зараза
    Новый лог прилагаю
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Я больше ничего плохого не вижу.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    9
    Вес репутации
    40
    Буду смотреть.

    Спасибо!

    Все таки, если не затруднит, какая зараза сидела?

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Arcand, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Кто-то поселился и не даёт ничего сделать
      От A.yeH4uk в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.07.2010, 10:09
    2. z-connect поселился :(
      От john555 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.11.2009, 18:19
    3. Кто-то поселился: CMD.EXE, taskkill?
      От dlenacsm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.07.2009, 20:14
    4. HELP кто-то поселился в с-ме
      От Chefachi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.06.2009, 09:45
    5. поселился win32/Wigon
      От bob666 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00736 seconds with 17 queries