Показано с 1 по 13 из 13.

DLOADER.Trojan (заявка № 49289)

  1. #1
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    7
    Вес репутации
    32

    Exclamation DLOADER.Trojan

    Уезжаю завтра в командировку, взял в конторе "разъездной" ноутбук. На нем оказались вирусы. Впервые не смог вычистить комп с помощью одного AVZ.

    Операционка - WinXP SP2 русская.
    AVPTool при установке выдает сообщение об ошибке в приложении и закрывается.
    CureIt выполняет сканирование, выдает подозрения на
    comctl32.dll:_rc_db_5.1.2600 Возможно DLOADER.Trojan
    Удаление файла ни к чему не приводит, при следующем сканировании диагностика та же.
    AVZ не запускается как avz.exe. Переименовал его в 123.pif, чтобы получить логи.
    HijackThis.exe запустился без проблем. В логе HijackThis присутствует "нечто"
    C:\DOCUME~1\admi\LOCALS~1\Temp\Rar$EX00.682\Christ mas.exe
    хотя с точки зрения Far этот каталог пуст.
    Буду крайне признателен за рекомендации.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8090
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKCU\..\Run: [Deluxe Tree] C:\DOCUME~1\admi\LOCALS~1\Temp\Rar$EX00.682\Christmas.exe
    O15 - Trusted Zone: http://*.rpappsrv
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kdrc.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA');
     DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\System32\Drivers\kdrc.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=49289).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    7
    Вес репутации
    32
    Отослал карантин 090704_171627_virus_4a4f562bcc7dd.zip
    Прикладываю новые логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте лог gmer.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    7
    Вес репутации
    32
    Gmer также не запустился под своим именем. Пришлось переименовать его в 456.pif

    В конце сканирования было выдано сообщение
    WARNING!!!
    GMER has found system modification caused by ROOTKIT activity
    Вложения Вложения
    • Тип файла: log gmer.log (31.1 Кб, 6 просмотров)

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     QuarantineFile('ice_time.dll','');
     QuarantineFile('C:\WINDOWS\system32\ice_time.dll','');
     QuarantineFile('C:\WINDOWS\ice_time.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\USBPORT.SYS','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\KSecDD.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\kbdclass.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kdrc.dll','');
     QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600','');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600');
     DeleteFile('C:\WINDOWS\System32\Drivers\kdrc.dll');
     DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (точнее 456.pif)
    Код:
    456.pif -del file c:\windows\system32\comctl32.dll:_rc_db_5.1.2600
    456.pif -del file C:\WINDOWS\System32\Drivers\kdrc.dll
    456.pif -reboot
    И запустите cleanup.bat. Компьютер перезагрузится. После перезагрузки повторите лог GMER и AVZ
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    7
    Вес репутации
    32
    Карантин послал
    090704_205223_virus_4a4f88c7e57c2.zip
    Сейчас запущу сканирование

  9. #8
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    7
    Вес репутации
    32
    Скачал из Интернета WinXP PE образ, сделал загрузочный диск и загрузился с него на ноутбуке.
    Удалось запустить AVPTool, предварительно установленный на флешку. При сканировании диска С: был найден и удален один файл:
    deleted: virus Worm.Win32.Viking.hk File: C:\Documents and Settings\All Users\Документы\mhgpec.exe

    К сожалению AVZ 4.30 не заработал под WinXP PE. При попытке запустить сканирование он выдал ошибку записи в ListBox и остановился. На самом диске с WinXP PE есть AVZ 4.23. Он работает, но у него устаревшие базы.

    Я удалил с ноутбука все данные и деинсталировал практически все программы, чтобы уменьшить время сканирования.
    Прилагаю последние логи.

    С виду ситуация не изменилась. Есть ли шансы вылечить заразу?
    Мне надо принимать решение о том, чтобы искать другой ноутбук.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Под Windows PE запустите тот AVZ 4.23 и выполните такой скрипт:
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600');
    end.
    Потом перезагрузитесь в свою систему и повторите лог по п.1 Диагностики
    (стандартный скрипт #3).

    Добавлено через 1 минуту

    Пришлите по правилам файл
    C:\WINDOWS\System32\drivers\btserial2.sys.
    Последний раз редактировалось Bratez; 05.07.2009 в 07:06. Причина: Добавлено
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    7
    Вес репутации
    32
    Выгрузить btserial2.sys не получается
    AVZ выдает диагностику:

    Ошибка карантина файла, попытка прямого чтения (c:\windows\System32\drivers\btserial2.sys)
    Карантин с использованием прямого чтения - ошибка

    Выполнил скрипт из под WinPE
    Перегрузился сделал проверку. Лог прилагаю.

    Если надо я могу из под WinPE скопировать btserial2.sys зазиповать и прислать

    P.S. Не могу.... В режиме WinPE файла btserial2.sys в каталоге c:\windows\System32\drivers\ нет. Такие дела.
    Вложения Вложения
    Последний раз редактировалось golovin; 05.07.2009 в 11:06.

  12. #11
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    7
    Вес репутации
    32
    я скопировал под WinPE все содержимое диска С на флешку. Теперь могу ковыряться в нем на своем домашнем компе.
    Подцепил hives к своему реестру. Посмотрел ключ
    HKEY_USERS\s111\Microsoft\Windows NT\CurrentVersion\Winlogon
    Userinit=C:\WINDOWS\SYSTEM32\Userinit.exe,

    В ключах
    В HKEY_USERS\s111\Microsoft\Windows\CurrentVersion\R un
    тоже ничего подозрительного.
    btserial2.sys в реестре не нашлось, что логично. Такого файла на диске нет. Видимо ROOTKIT динамически его как-то подсовывает.

    Как же эта дрянь может запускаться?

    Сейчас проверю содержимое диска С на своем компе с помощью AVPTool и AVZ с последними обновлениями.

    Добавлено через 57 минут

    Проверил скопированные данные с диска С ноутбука.
    AVPTool и AVZ показали 0 подозрений.
    На ноутбуке все без изменений.
    И при обычной загрузке и в SafeMode:
    - AVPTool не устанавливается, выдает ошибку приложения в конце инсталляции
    - avz.exe запускается только переименованным
    - gmer.exe запускается только переименованным. В конце скана выдает сообщение о налиичии ROOTKIT.

    Времени не осталось. Принято решение переставлять Винду.
    Спасибо всем принявшим участие.

    Дней через 15 вернусь, проверю сохраненный диск С обновленными версиями антивирусов. Если найду что-нибудь интересное - отпишусь.

    Еще раз спасибо за помощь.
    Последний раз редактировалось golovin; 05.07.2009 в 12:53. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Сделайте лог рутрепила http://virusinfo.info/showthread.php?t=40120
    Пришлите по правилам explorer.exe он у вас пропатчен.
    Последний раз редактировалось Alex_Goodwin; 06.07.2009 в 10:15.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\comctl32.dll:_rc_db_5.1.2600 - Backdoor.Win32.Agent.aifu ( BitDefender: Gen:Trojan.Heur.300C6DECEC )
      2. c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$ data - Backdoor.Win32.Agent.aifu ( BitDefender: Gen:Trojan.Heur.300C6DECEC )
      3. c:\windows\system32\dllcache\comctl32.dll:_rc_db_5 .1.2600:$data - Backdoor.Win32.Agent.aifu ( BitDefender: Gen:Trojan.Heur.300C6DECEC )
      4. c:\windows\system32\drivers\kdrc.dll - Rootkit.Win32.Agent.mau ( DrWEB: Trojan.Proxy.3908, BitDefender: Trojan.Generic.787288 )


  • Уважаемый(ая) golovin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost возможно DLOADER.Trojan
      От UnGod в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.02.2011, 18:39
    2. Trojan.Dloader/WinLock(номер для смс 4460)
      От Razie1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2010, 01:22
    3. Новый Вирус? Win32:Trojan-gen. {Other} или DLOADER.Trojan
      От orion в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:55
    4. Подозрение на Trojan.Dloader
      От Rogoff в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.07.2007, 06:17
    5. DLOADER.Trojan или ложное срабатывание Веба?
      От ScratchyClaws в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 21.04.2007, 10:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01541 seconds with 17 queries