Показано с 1 по 20 из 20.

Trojan.Win32.Small.aarn (заявка № 44841)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36

    Question Trojan.Win32.Small.aarn

    7-й KAV обнаруживает Trojan.Win32.Small.aarn в файле C:\WINDOWS\dlfpt.rdv
    Пытается удалить при помощи "специальной процедуры лечения", но после перезагрузки вирус появляется снова. CureIT под "безопасным режимом" ничего не находит. Как можно избавиться от этой гадости?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте логи по правилам, тогда мы сможем вам помочь.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Цитата Сообщение от Bratez Посмотреть сообщение
    Сделайте логи по правилам, тогда мы сможем вам помочь.
    Я бы с радостью, но вирус запретил мне доступ на запись к дискам, я банально файл отчета сохранить не могу. Попробую что-то сделать, но не уверен, что получится.

    Готово

    Как я понимаю KAV не сможет справиться с вирусом?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 30.04.2009 в 18:23.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Пока так: на время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     quarantinefile('C:\Documents and Settings\uZer\Start Menu\Programs\Startup\r155_15.bat','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl322.dll','');
     QuarantineFile('C:\WINDOWS\system32\hidec','');
     QuarantineFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\cmigameport.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     DeleteFile('C:\WINDOWS\system32\hidec');
     BC_DeleteFile('C:\WINDOWS\system32\hidec');
     DeleteFile('digeste.dll');
     BC_DeleteFile('digeste.dll');
     DeleteFile('c:\windows\system32\digeste.dll');
     BC_DeleteFile('c:\windows\system32\digeste.dll');
    BC_Importall;
    BC_Activate;
    ExecuteSysClean;
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=44841 , как написано в прил.3 правил, очистите временные папки и кэш браузера и повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Сделал.
    К сожалению не удается убить временные файлы в юзере uZer, почему-то запрещен доступ к папке (хотя права админские).
    Вложения Вложения
    Последний раз редактировалось umklaidet; 30.04.2009 в 18:24.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    - Очистите темп-папки, кэш проводников и корзину.
    - Сделайте повторные логи

    virusinfo_syscheck.zip
    hijackthis.log

  8. #7
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Сделал. Не помогает.
    Симптомы (вдруг поможет в диагностике): при попытке запустить cmd и при попытке запустить reg-файл убивается процесс explorer, сайты иногда открываются не с 1 раза, перестает работать звук, периодически падает Мозилла, пару раз был bsod при запуске приложений.
    Вложения Вложения
    Последний раз редактировалось umklaidet; 30.04.2009 в 20:55.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
    executerepair(1);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RebootWindows(true);
    end.
    После перезагрузки повторите 3 лога по правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Сделал. Пока не помогает. Буду дальше биться завтра.
    Вложения Вложения

  11. #10
    Geser
    Guest
    Очистите карантин и выполните скрипт ниже. После перегрузки закачайте новый карантин как в прошлый раз
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\WinCtrl322.dll','');
     QuarantineFile('C:\Program Files\WebSite-Watcher\wswatch_add.exe','');
     QuarantineFile('C:\Program Files\Video Strip Poker Supreme\main.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\splj.sys','');
    QuarantineFile('C:\WINDOWS\system32\splj.sys','');
     QuarantineFile('C:\WINDOWS\system32\hidec','');
     DeleteFile('C:\WINDOWS\system32\hidec');
     DeleteFile('C:\Program Files\Video Strip Poker Supreme\main.exe');
     DeleteFile('C:\Program Files\WebSite-Watcher\wswatch_add.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl322.dll');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    C:\Documents and Settings\uZer - Это реально существиющий акаунт?

  12. #11
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Сделал. При выполнении скрипты были какие-то ошибки. Какие - не знаю, т.к. комп перезагрузился сразу.

    Цитата Сообщение от Geser Посмотреть сообщение
    C:\Documents and Settings\uZer - Это реально существиющий акаунт?
    Он был когда-то, потом после нескольких восстановлений винды доступ к нему пропал. При попытке зайти в C:\Documents and Settings\uZer пишется "отказано в доступе".

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Повторите логи по правилам.

  14. #13
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Сделал.
    AVZ как не видел, так и не видит вируса в C:\WINDOWS\dlfpt.rdv =(
    А мне удалось добраться до C:\Documents and Settings\uZer, поудалял оттуда всякий мусор и права нормальные установил.
    Вложения Вложения
    Последний раз редактировалось umklaidet; 01.05.2009 в 11:03.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Отключите Касперского и выполните скрипт
    Код:
    begin
    QuarantineFile('C:\WINDOWS\dlfpt.rdv','');
    end.
    Карантин - если что-то попадет - закачайте по правилам.

    Добавлено через 1 минуту

    Цитата Сообщение от umklaidet Посмотреть сообщение
    Сделал.
    AVZ как не видел, так и не видит вируса в C:\WINDOWS\dlfpt.rdv =(
    Вы имя файла точно скопировали? Если можно, копи-пейст строчку из протокола КИС с именем файла.
    Последний раз редактировалось Rene-gad; 01.05.2009 в 19:24. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Код:
    29.04.2009 23:59:16	Файл c:\windows\dlfpt.rdv, обнаружено: троянская программа 'Trojan.Win32.Small.aarn'.
    Не попадает файл в карантин.

    Вот здесь: http://forum.kaspersky.com/index.php?showtopic=114921 избавились как минимум от файла удалением из реестра, у меня так не получилось, наверное потому что у меня в HKLM\SYSTEM\ControlSET00X\Control\Session Manage вируса не было.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    А найти его по приложению 2 правил Вы можете? Если да- пришлите по правилам (приложение 3).

  18. #17
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Оказывается не получалось поместить в карантин из-за очередного запрещения на запись, после перезагрузки сделал, смотрите.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\dlfpt.rdv');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки обновите базы Вашего антивируса, сделайте полную проверку системы и повторите логи.

  20. #19
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    13
    Вес репутации
    36
    Помогло. Спасибо огромное. Надеюсь, что благодарность в вечнозеленом эквиваленте поможет вашему замечательному ресурсу.
    Ну и логи на всякий случай.
    Вложения Вложения

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\dlfpt.rdv - Trojan.Win32.Small.aarn
      2. c:\windows\system32\winctrl322.dll - Trojan-Downloader.Win32.Mutant.cnb ( DrWEB: BackDoor.Bulknet.225, BitDefender: Trojan.Dropper.Kobcka.Gen.1 )


  • Уважаемый(ая) umklaidet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. KIS7 находит Trojan.Win32.Small.aarn
      От kostik2402 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.05.2009, 10:38
    2. Trojan.Win32.Small.aarn и компания
      От AlexCray в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.05.2009, 20:17
    3. Каспер все время ловит Trojan.Win32.Small.aarn
      От ascodts в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.05.2009, 06:00
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 05:38
    5. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
      От Катерина в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2008, 15:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00684 seconds with 17 queries