Показано с 1 по 17 из 17.

Trojan-Downloader.XS (заявка № 17890)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40

    Thumbs up Trojan-Downloader.XS

    Система обнаружила, что на компе вирус Trojan. И что его можно удалить его, загрузив с сайта antispywareupdates.com программу. Скачала эту программу, но она не открывается - Касперский вообще пишет, что там вирус. Еще в Program Files появились папки, где и находится вирус. Я их удаляю, но они опять появляются и в папке Windows тоже какие-то непонятные exe-шные файлы появляются, когда их удаляешь. Касперский вирусов не находит. Как этого трояна удалить. В диспетчер задач зайти тоже не могу - пишет, что доступ отключен администратором
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');
     DelBHO('{e9306072-417e-43e3-81d5-369490beef7c}');
     DelBHO('{e9147a0a-a866-4214-b47c-da821891240f}');
     DelBHO('{d8efadf1-9009-11d6-8c73-608c5dc19089}');
     DelBHO('{ca1d1b05-9c66-11d5-a009-000103c1e50b}');
     DelBHO('{c5af2622-8c75-4dfb-9693-23ab7686a456}');
     DelBHO('{c4ca6559-2cf1-48b6-96b2-8340a06fd129}');
     DelBHO('{c2680e10-1655-4a0e-87f8-4259325a84b7}');
     DelBHO('{bb936323-19fa-4521-ba29-eca6a121bc78}');
     DelBHO('{b8875bfe-b021-11d4-bfa8-00508b8e9bd3}');
     DelBHO('{b6139aae-1dd1-11b2-939a-87d7c062c9d4}');
     DelBHO('{a4a435cf-3583-11d4-91bd-0048546a1450}');
     DelBHO('{944864a5-3916-46e2-96a9-a2e84f3f1208}');
     DelBHO('{6abc861a-31e7-4d91-b43b-d3c98f22a5c0}');
     DelBHO('{669695bc-a811-4a9d-8cdf-ba8c795f261e}');
     DelBHO('{54645654-2225-4455-44A1-9F4543D34546}');
     DelBHO('{53C330D6-A4AB-419B-B45D-FD4411C1FEF4}');
     DelBHO('{51641ef3-8a7a-4d84-8659-b0911e947cc8}');
     DelBHO('{2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71}');
     DelBHO('{1adbcce8-cf84-441e-9b38-afc7a19c06a4}');
     DelBHO('{12F02779-6D88-4958-8AD3-83C12D86ADC7}');
     DelBHO('{06dfedaa-6196-11d5-bfc8-00508b4a487d}');
     DelBHO('{029e02f0-a0e5-4b19-b958-7bf2db29fb13}');
     DelBHO('{00000012-890e-4aac-afd9-eff6954a34dd}');
     DelBHO('{00000000-d9e3-4bc6-a0bd-3d0ca4be5271}');
     TerminateProcessByName('c:\windows\system32\rxjddnvj.exe');     
     QuarantineFile('C:\DOCUME~1\B23E~1\LOCALS~1\Temp\stmtthost.exe','');
     QuarantineFile('C:\WINDOWS\system32\io02.sys','');
     QuarantineFile('C:\WINDOWS\system32\alderlcm.dll','');
     QuarantineFile('C:\WINDOWS\avmbizgv.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\orazkfsj.dll','');
     QuarantineFile('c:\windows\system32\rxjddnvj.exe','');
     DeleteFile('c:\windows\system32\rxjddnvj.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\orazkfsj.dll');
     DeleteFile('C:\WINDOWS\avmbizgv.dll');
     DeleteFile('C:\DOCUME~1\B23E~1\LOCALS~1\Temp\stmtthost.exe');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(6);
     ExecuteRepair(8);     
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложения 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=17890
    Профиксите
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\rxjddnvj.exe,
    Последний раз редактировалось wise-wistful; 11.02.2008 в 21:20.

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40
    После скрипта в АВЗ - перезагружается компьютер, и выскакивает какая-то ошибка, что файл ...dll не найден. Когда загружаю карантин - тоже во всех файлах ошибки. Восстановление системы не отключено было, может из-за этого??
    И еще как именно профиксить
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\rxjddnvj.exe ?

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    Повторите логи
    Microsoft Most Valuable Professional in Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40
    Это то??
    Вложения Вложения

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    virusinfo_syscure.zip и virusinfo_syscheck.zip то же нужны новые.

  9. #8
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40
    virus_zip никак не могу отослать

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Профиксите
    O4 - HKLM\..\Run: [orazkfsj] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\orazkfsj.dll"

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    http://virusinfo.info/upload_virus.php?tid=17890 вы по этой ссылке отсылаете?
    Microsoft Most Valuable Professional in Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40
    Цитата Сообщение от akoK Посмотреть сообщение
    http://virusinfo.info/upload_virus.php?tid=17890 вы по этой ссылке отсылаете?
    Теперь отослала.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40
    Не могу профиксить orazkfsj. Когда ввожу, то пишет, что такой не найден в регистре

  14. #13
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40
    Вот вроде получилось
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Все в порядке.
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: speed-bit Toolbar - {2ba521ac-b9b9-4433-ba45-dba2f02cba5a} - C:\Program Files\speed-bit\tbspe1.dll (file missing)
    O2 - BHO: speed-bit Toolbar - {2ba521ac-b9b9-4433-ba45-dba2f02cba5a} - C:\Program Files\speed-bit\tbspe1.dll (file missing)
    O2 - BHO: Gamburg provider - {6607E676-1BDE-4cb3-9913-4DC5EBCAE35E} - unifff.dll (file missing)
    Рекомендуется заменить антивирус на свежую версию (7.0),
    а также отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    18
    Вес репутации
    40
    А если все отключить, это на работу компьютера как-то повлияет? Если нет, то можно тогда все отключить

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Повлияет. В лучшую сторону .
    Вот скрипт для отключения ненужного (автозапуск CD оставил):
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    *** Если есть локалка общим доступом к файлам и принтерам, уберите первую строчку после begin.
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Vika, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Java.Agent.aw Trojan-Downloader.JS.DarDuk.cl
      От alex171 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.01.2012, 11:30
    2. Ответов: 3
      Последнее сообщение: 12.06.2009, 22:17
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    4. как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516
      От Dimin75 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:42
    5. Ответов: 22
      Последнее сообщение: 22.05.2007, 10:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00638 seconds with 17 queries