Показано с 1 по 13 из 13.

Неизвестный роян (заявка № 20689)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    16
    Вес репутации
    36

    Thumbs up Неизвестный роян

    Вообщем поймал я трояна походу.

    Вылетает окно - "System Error!" с текстом "Your computer was infected by unknown trojan. It's dangerous for your system (critical files can be lost). Click OK to download the antispyware program to clean your system (Recomended)
    при нажатии на "да" пытается слить файл setupX.exe где X - порядковый номер соответствующий количеству нажатых "да" (проверено эксперементально)

    пробовал убить NODом - ничего не видит, spyBot - видит какойто троян удаляет его но всё появляется снова (табличка с сообщением)
    AVZ - находит какието трояны и setup1.exe (жена успела один файл загрузить) - типа всё удаляет но проблема остаётся (хотя теперь загружать просит просто setup.exe при нажатии "да" в вышеописанном окне)

    вообщем последовал вашим правилам - залил логи (тока логи после 3-го прогона, тоесть в последующие разы AVZ уже ничего не находил а проблема вроде как есть 8()

    ну надеюсь вы сможете мне помочь даже в таком случае, очень надеюсь.

    Заранее огромное спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\dsaip32b.dll','');
     QuarantineFile('c:\windows\system32\cftmon.exe','');
      DelBHO('{687A466A-D7CB-4FDF-965C-92462A82D7F0}');
     DeleteFile('C:\WINDOWS\dsaip32b.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    16
    Вес репутации
    36
    Доброго времени суток, вроде всё удалилось, по крайней мере талбичка не вылетает. Хотя я по началу даже и не понял чем вредит cftmon.exe, тока потом заметил что буквы местами поменены
    гад круто замоскировался, а я уж думал как он проник в автозагрузку.

    Тока cftmon.exe из автозагрузки не убирался, пришлось ручками.

    Логи прилогаю, СПАСИБО
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O2 - BHO: Media Player Codec - {687A466A-D7CB-4FDF-965C-92462A82D7F0} - C:\WINDOWS\dsaip32b.dll (file missing)
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    выполните скрипт .....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{687A466A-D7CB-4FDF-965C-92462A82D7F0}');
     DeleteFile('C:\WINDOWS\dsaip32b.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ....

  6. #5
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    16
    Вес репутации
    36
    Фсё сделал, фсё высылаю.......
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего подозрительного ....
    какие-то проблемы остались ?

  8. #7
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    16
    Вес репутации
    36
    ну что то в последней проверке АВЗ было много красных строк, на против некоторых было написано что безопасные приложения (это фаервол, вчера поставил)
    а остальные просто были выделены красным.

    А так явных признаков вируса с окном (давайте я так его назову ) нет, по крайней мере в фаервол кроме стандартных прог никто не стучится.

    Обновил базы нода (это у меня происходит по воскресениям ) после сканирования нашёл ещё пару подозрительных файлов, вроде удалил
    могу прислать имя заразы после перезагрузки (а то всё выгрузил когда логи делал)

    вроде всё, замечаний нет Спасибо
    Есть тока вопрос а откуда вы знаете что есть зараза и как её выкавыривать?

    Добавлено через 10 минут

    Вот C:\Documents and Settings\Anton\Local Settings\Temp\file795.exe Win32/Adware.IeDefender.NCM

    и ещё после перезагрузки когда винда пишет "Лог Офф" вылетает мессага что то типа того что не может завершить работу драйвера диска А:
    ну это НАВЕРНОЕ не вирус

    Вообщем спасибо огромное за то что избавили от нудной переустановки системы (я уже было сибирался), ну и от вируса конечно (что в принципе равносильно)
    Последний раз редактировалось filipok; 01.04.2008 в 22:13. Причина: Добавлено

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от filipok Посмотреть сообщение
    ну что то в последней проверке АВЗ было много красных строк, на против некоторых было написано что безопасные приложения (это фаервол, вчера поставил)
    а остальные просто были выделены красным.
    это нормально ...
    Цитата Сообщение от filipok Посмотреть сообщение
    и ещё после перезагрузки когда винда пишет "Лог Офф" вылетает мессага что то типа того что не может завершить работу драйвера диска А:
    ну это НАВЕРНОЕ не вирус
    попробуйте оключить А: в биос ...

  10. #9
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    16
    Вес репутации
    36
    так я им пользуюсь (бивиса перепрошить например), конечно бывает не часто но всётаки

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    отключите временно ... проблема должна исчезнуть ...

  12. #11
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    16
    Вес репутации
    36
    убрал, всё прошло (ну по крайней мере не выдало сообщение после перезагрузки, правда она и так его выдавала не всегда)

    спасибо

    так всё таки откуда вы знаете что зараза а что нет?

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    "И опыт сын ошибо трудных,
    И гений, парадоксов друг.."

    Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Удачи и чистого Вам интернета

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\dsaip32b.dll - Hoax.Win32.Renos.bhw (DrWEB: Trojan.DownLoader.54115)
      2. c:\\windows\\system32\\cftmon.exe - Trojan-Clicker.Win32.Agent.wt (DrWEB: Trojan.Packed.194)


  • Уважаемый(ая) filipok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. неизвестный файл
      От Владимир Щ... в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.05.2012, 20:56
    2. Неизвестный
      От Сумрак в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2011, 20:06
    3. Неизвестный вирус
      От St.Lie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.06.2009, 19:39
    4. Срочно! Неизвестный вирус
      От NetomaN в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.06.2009, 12:47
    5. Неизвестный вирус
      От Stanislaw в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.06.2009, 03:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00786 seconds with 17 queries