Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 51.

Как избавиться от трояна? (заявка № 4391)

  1. #1
    Ksuha
    Guest

    Unhappy Как избавиться от трояна?

    На днях словила троян модифицированный Win32/Adware.Look2Me. У меня ХР, из антивирусов - только NOD32. Действовала по инструкции в Правилах. Суть вопроса - что мне делать дальше????

    ЗЫ. Все, что просили отправила, только WService.EXE не нашла. Теперь иду дальше по пунктам, как предложил RiC
    Сегодняшние логи
    Последний раз редактировалось Ksuha; 02.03.2006 в 16:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    209
    Нужно прислать как описано в правилах:

    C:\WINDOWS\system32\dnl4013qe.dll
    C:\winstall.exe
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm*.exe
    C:\WINDOWS\system32\qmv.dll
    C:\WINDOWS\system32\drivers\i386p.sys
    C:\WINDOWS\system32\guard.tmp

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Угу, "узнаю брата Васю". О дальнейших действиях читайте, например, здесь: http://virusinfo.info/showthread.php?t=4346
    Для начала, конечно, хорошо бы найти компоненты зверя, хотя бы вот это (имя файла, скорее всего, будет уже другое):
    O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
    и проверить его в онлайне у Dr.Web и KAV. Тогда будет понятнее, чем гонять. Хотя, может быть, его и NOD сумеет выгнать, если правильно режим работы монитора выставить?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от HATTIFNATTOR
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm*.exe
    также прошу прислать C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm*.dll

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от pig
    Угу, "узнаю брата Васю".
    Там кроме Васи ещё и Петя, и всё прочее семейство
    Что дают Look2Me, Spambot, Dumador, Prorat
    Следующие действия -
    1. Прислать всё, что просили плюс если найдёте - WService.EXE
    2. Скачать CureIt - ссылка есть в правилах.
    3. Загрузиться в SafeMode и проверить диск С: с помошью CureIt.
    4. Запустить Hijack сделать Fix для
    O4 - HKLM\..\Run: [WService] WService.EXE
    O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
    5. Пуск/Выполнить 2 команды
    net stop TlntSvr
    sc config TlntSvr start= disabled
    перезагрузиться и повторить логи, по идее после этого должен выжить Look2Me им займёмся после избавления от остальной "компании".
    Последний раз редактировалось RiC; 05.01.2006 в 13:33.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Присланные (все три зверьки):
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
    C:\WINDOWS\system32\drivers\i386p.sys

    AntiVir Found Trojan/Zapchast.AD, Trojan/Spy.Smal.dg.24.B
    ArcaVir Found Trojan.Spy.Small.Dg
    Avast Found Win32:Trojano-3173
    AVG Antivirus Found nothing
    BitDefender Found Trojan.Torpig.C
    ClamAV Found nothing
    Dr.Web Found Trojan.PWS.Gamma, Trojan.NtRootKit.60
    F-Prot Antivirus Found nothing
    Fortinet Found Spy/Torpig
    Kaspersky Anti-Virus Found Trojan.Win32.Zapchast.ad, SpamTool.Win32.Mailbot.b, Trojan-Spy.Win32.Small.dg
    NOD32 Found Win32/PSW.Agent.NAG, Win32/SpamTool.Mailbot.B
    Norman Virus Control Found W32/Agent.LHX
    UNA Found nothing
    VBA32 Found Trojan.Win32.Zapchast.ad, Backdoor.IRCBot.10 (paranoid heuristics), Trojan-Spy.Win32.Small.dg (probable variant)

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Shu_b
    Присланные (все три зверьки):
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
    C:\WINDOWS\system32\drivers\i386p.sys
    Думадор похоже не выжил, ну и фиг с ним -
    Эту пару стереть в SafeMode
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
    последнего - C:\WINDOWS\system32\drivers\i386p.sys
    AVZ -
    Файл/отложенное удаление
    выбрать и перезагрузиться,
    что подчистить в Hijack я уже писал.

    После повторите логи - будем ловить Look2Me .

  9. #8
    Ksuha
    Guest
    Значит так, все сделала точно следуя указаниям, НО:
    1. Не найден C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
    2.В HJT не найдены O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" и O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
    Остальное потерла.
    Новые логи
    Последний раз редактировалось Ksuha; 02.03.2006 в 16:06.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Вопрос - я в логах не вижу NOD, прокоторый вы упомянули, он всё-же установлен или нет ?

  11. #10
    Ksuha
    Guest
    RiC
    Забыла написать, его сегодня удалил один мастер-ломастер. Но я могу снова поставить, только не знаю, когда это лучше сделать: сейчас или позже.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    ещё одна правка
    Код:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe"
    Запускаете блокнот и копируете из рамки текст, затем вставляете в блокнот, после выбираете файл/сохранить и пишите имя файла "1.reg" обязательно в кавычках, после 2 раза из проводника щёлкаете на файл и соглашаетесь добавить данные в реестр.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Ksuha
    RiC
    Забыла написать, его сегодня удалил один мастер-ломастер. Но я могу снова поставить, только не знаю, когда это лучше сделать: сейчас или позже.
    Пока не надо ставить, сейчас будем мучать другой антивирус, от нода мы не добьёмся того, что нужно.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Следующую рекомендацию надо выполнить без ошибок, в противном случае Windows придётся переустанавливать Я постараюсь написать как можно подробнее.
    А вам пока надо скачать демо версию Dr.Web но не устанавливать, она довольно большая по размеру - около 8 мб.

  15. #14
    Ksuha
    Guest
    RiC
    и соглашаетесь добавить данные в реестр
    Готово.
    Ой, мамочки, предупреждаю - я чайник!!!

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Look2Me на самом деле очень противная зараза и вывести её достаточно сложно, я пока сочиняю подробную инструкцию, подождите немного.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Установка - будем ставить минимум необходимого-

    Запуск, я пропущу экраны на которых весь выбор состоит из кнопки "далее"

    Добираемся до "Вид установки", здесь надо выбрать "Выборочную"

    Следующий экран - НЕНУЖНЫЕ компоненты -
    1. Консольный сканер.
    2. Сканер для дос
    3. Spider Mail для рабочих станций (по желанию это проверка почты на вирусы)

    остальное нужно.
    Ещё несколько раз "далее".

    Вопрос про "адрес, имя, пароль" - давите "отмена".

    Регистрация -
    Выбираете "зарегистрировать сейчас" и "получить демонстрационный ключ" дальше заполняее анкету и регистрируете программу.

    вопрос про перезагрузку - отвечаете НЕТ

    После в трее появляется зелёный паук с красным крестом
    нажимаете на него правой кнопкой мыши - и выбираете "Update" или "Обновить"

    Если возникнет вопрос о перезагрузке - опять НЕТ - ещё рано.

    Выкачиваете из вложения к этой теме архив drweb32.zip это архив, в нём 1 файл - drweb32.ini распаковываете и записываете его в каталог c:\Program files\DrWeb вместо того файла, который в нём лежит.

    Файл нужно заменить обязательно.

    После перезагружаетесь и делаете лог исследование системы в AVZ.

    Если что-то не получается и после перезагрузки выйдет синий экран - загружаетесь в режиме защиты от сбоев и через установку/удаление программ удаляете антивирус.
    Если после перезагрузки получите "ошибка Winlogon" - ничего не нажимайте, подождите немного Windows продолжит загружаться, просто не трогайте это окно и сделайте лог AVZ, окно потом уберём вместе с ошибкой.

    Писал так долго потому, что повторял все шаги на тестовом компьютере с установленной L2M - в итоге у меня Look2Me помер тихо и без синих экранов
    Вложения Вложения
    Последний раз редактировалось RiC; 30.01.2006 в 20:56.

  18. #17
    Ksuha
    Guest
    Все прошло без особых ЧП, но с жутким торможением. На последнюю стадию у меня ушел почти час!
    Лог приложила
    ЗЫ. Можно и на ТЫ перейти
    Последний раз редактировалось Ksuha; 02.03.2006 в 16:06.

  19. #18
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    Вместо доктора надо каспера ставить чтоб потом остатки не чистить..
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Пожалуйста.
    Зер гуд, L2M похоже помер - уборка мусора -

    AVZ -
    Сервис - Менеджер автозапуска,
    раздел Winlogon
    выделяем файл
    C:\WINDOWS\system32\k0260afsed260.dll
    давим на кнопку с крестом.
    Закрываем.
    Опять Сервис - Менеджер расширений проводника
    здесь 2-е.
    C:\WINDOWS\system32\pocn20.dll
    C:\WINDOWS\system32\guard.tmp
    так-же по очереди на крест.

    Чтобы небыло тормозов -
    На паука правой кнопкой "Setting"
    раздел "On acess scan mode"
    ставим точку напротив "Smart".

    Ещё раз перезагрузка и новый лог напоследок.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Sanja
    Вместо доктора надо каспера ставить чтоб потом остатки не чистить..
    В прошлый раз эта бета от каспера похоранила компьютер, хватит экспериментов, выпустят релиз - тогда будет каспер, пока наф, я лучше Noaher`овский киллер переделаю, чтобы на русской винде работал, благо он в сорцах.

  • Уважаемый(ая) Ksuha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Помогите избавиться от трояна!
      От Андрей Ярков в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 15.11.2011, 11:55
    2. Как избавиться от трояна
      От Вита в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.08.2010, 22:25
    3. Не могу избавиться от трояна
      От Sergey100 в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 08:39
    4. избавиться от трояна
      От squirrel-tw в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 05:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00026 seconds with 17 queries