Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

trojan horse downloader.delf.azz (заявка № 20389)

  1. #1
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38

    Thumbs up trojan horse downloader.delf.azz

    Доброго времени суток. Такую вот пакость обнаружил и удалил мой антивирусник avg в системе. После обнаружения и успешного (надеюсь) удаления возникли подозрения, что есть еще что-то в системе. Попытался посмотреть инфо в интернете на предмет других вирусов, троянов и иже сними. Понял, что сам не разберусь. Подозрения мои подтверждаются. На пример, работают csrss.exe и winlogon.exe. В отличие от остальных программ и процессов, которые запущены на компьютере, и для которых в диспечере задач отображены кроме имени образа, загрузки цп и памяти также имя пользователя и описание, для этих двух процессов вместо последних пунктов пустота. По программе csrss нашел инфо, что это одна из программ, которые подменяют реальные windows процессы, на одном из сайтов нашел описание изменений, которые эта штука производит в реестре, сопоставил со своим реестром, частичное совпадение. Но к сожалению не нашел истинных (исходных значений). Есть еще несколько странных записей, очевидных моему "чайниковскому" взгляду, если понадобится, опишу подробнее.
    Надеюсь на вашу помощь . С уважением.
    P.S. Не удалось создать файл virusinfo syscheck по неизвестной мне причине (я его просто не нахожу в папке Log), поэтому третьим файлом прилагаю лог самой программы, надеюсь, что это поможет указать на мою ошибку при работе с программой.
    P.P.S. При попытке активировать функцию avz guard также вылетает сообщение об ошибке.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    Вы как запускали avz? Нужно переделать логи. Написано же, сначала распаковать в отдельную папку сам архив с avz. Потом нажимать правой кнопкой на avz.exe , нажать Run aS , выбрать админа , набрать пароль , нажать ОК.

  4. #3
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Спасибо за быстрый ответ. Получилось. Прилагаю второй лог.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Вопрос по прежднему актуален.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1502
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\7B9C~1\AppData\Local\Temp\_uninstop.exe','');
     QuarantineFile('avgwlntf.dll','');
     DelBHO('{486D0362-657B-4771-B56D-AE29AA31B78B}');
     QuarantineFile('C:\Windows\ausctv32a.dll','');
     BC_QrSvc('Dpiomme');
     QuarantineFile('C:\Windows\system32\QBIOSIo.dll','');
     DeleteFile('C:\Windows\ausctv32a.dll');
     DeleteFile('C:\Users\7B9C~1\AppData\Local\Temp\_uninstop.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил....
    повторите логи ....

  7. #6
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Сделано.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1502
    так не годится ....базы авз обновить !!!
    логи сделать запустив от имени администратора ...

  9. #8
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Не получается обновить базы. Вылетает ошибка загрузки файла с описанием обновления.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Сходи на сайт z-oleg.com. Скачай zip с базами, раззипуй в директорию base.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Смотрите.
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Каковы мои дальнейшие действия?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1502
    пофиксите ...
    Код:
    O2 - BHO: Media Player Classic - {486D0362-657B-4771-B56D-AE29AA31B78B} - C:\Windows\ausctv32a.dll (file missing)
    O4 - HKLM\..\Run: [outpost_uninst] C:\Users\7B9C~1\AppData\Local\Temp\_uninstop.exe /u
    выполните скрипт ...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\winbom.vbs','');
     DelBHO('{486D0362-657B-4771-B56D-AE29AA31B78B}');
     BC_DeleteSvc('Dpiomme');
     DeleteFile('C:\Windows\ausctv32a.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  14. #13
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    ишлите карантин согласно приложения 3 правил ...
    только карантин или полный комплекс? и если комплекс, то базы надо поновой обновлять или рано еще?
    Последний раз редактировалось anton_dr; 13.04.2008 в 07:59.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1502
    пока только карантин ...

  16. #15
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Готово, жду дальнейших указаний.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Офф: Старайся аккуратнее квотировать сообщения.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Safe & Soft Репутация
    Регистрация
    21.06.2007
    Сообщений
    3
    Вес репутации
    41
    нужен файл c:\windows\SetWallPaper\SetWallPaper.exe + добавьте ещё файл winbom.vbs_ к архиву

  19. #18
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    только что запустил программу avz, чтобы отправить запрошеные вами файлы и обнаружил, что вместо пунктов меню файл, сервис и прочее - "надписи" такого вида: [?63?], [?547?] и так далее. Не подскажете, с чем это связано? Скачаю программу по новой.

    Добавлено через 7 минут

    Отправил запрошеные файлы.
    Последний раз редактировалось litp; 28.03.2008 в 01:12. Причина: Добавлено

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1294
    Цитата Сообщение от litp Посмотреть сообщение
    только что запустил программу avz, чтобы отправить запрошеные вами файлы и обнаружил, что вместо пунктов меню файл, сервис и прочее - "надписи" такого вида: [?63?], [?547?] и так далее. Не подскажете, с чем это связано?
    Недоступна база локализации. Не из архива случайно запустили?

  21. #20
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    20
    Вес репутации
    38
    Нет, если дело в базах, тогда мой "косяк". Случайно перекинул папку с базами в какую-то другую - толи LOG, толи карантин. Машина - ноут, тачпад иногда не в меру чувствительный и случаются такие "приколы". Редко, но случаются.

  • Уважаемый(ая) litp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Files infected with Trojan Horse & Downloader
      От yipwingching в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 28.06.2010, 06:16
    2. Trojan-Downloader.Win32.Delf.txh
      От Adunkt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.06.2009, 18:52
    3. Trojan-Downloader.Win32.Delf.cxa
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 31.05.2008, 22:01
    4. Trojan-Downloader.Win32.Delf.dbo
      От wheeller в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.11.2007, 02:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01566 seconds with 17 queries