Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 56.

H@tkeysH@@k.dll, Downloader.Trojan (заявка № 4971)

  1. #1
    memorex
    Guest

    H@tkeysH@@k.dll, Downloader.Trojan

    Привет всем! Прошу о помощи - всякая бяка лезе непрерывно.
    Антивирь Symantec Corporate Ed. Зафиксировал Downloader.Trojan A0080814.DLL в C:\System Volume Information\_restore{665F7314-4139-4590-B83E-798FE3716D42}\RP357\. Почистила, так он дал клоны, опять удалила. Что еще сделать, чтобы не появлялся больше? И вот еще в систему что-то залезло, в Windows\System32, которое идентифицируется в AVZкак H@tKeysH@@k.DLL, удалить Avz не может из-за настроек. ЧТо делать? логи отправила.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от memorex
    Привет всем! Прошу о помощи - всякая бяка лезе непрерывно.
    Антивирь Symantec Corporate Ed.
    в HiajckThis пофиксите строки:

    R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
    R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
    O2 - BHO: (no name) - {D2CAFC8B-0C3F-4AD8-AB05-3460AE1E39FC} - (no file)
    O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZRxdm185YYKZ
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...p1.0.0.8-2.cab
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
    O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
    O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - (no file)
    O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)


    файл прислать на проверку по правилам форума:
    C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp
    C:\Program Files\NoAdware4\noadwareutils.dll

    не понятно, зачем нужен Nuke Nabber - в системе он выглядит лишним

    Norton Antivirus лучше поменять на что-то более серьезное

  4. #3
    memorex
    Guest
    У меня не Norton, а Symantec Antivirus Corporate Edition. Нортон был, я его уже давно убрала. Nuke Nabber советовал провайдер в виде защиты от нюкеров.
    А какой антивирь принципиально лучше?

    C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp вдруг загадочным образом исчез.
    а :\Program Files\NoAdware4\noadwareutils.dll

    не могу загрузить в форум,сообщение, что некорректный сайт.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    210
    H@tKeysH@@k.DLL относится к категории RiskWare, чтобы удалить его в AVZ нужно поставить птичку "выполнать лечение" и для категории RiskWare выбрать в качестве действия удаление. Затем просканировать систему.
    Если не получается отправить файл на https://virusinfo.info/upload_virus.php пришлите его на virus@virusinfo.info в запароленном архиве. Также поищите и пришлите как описано в правилах:
    C:\Recycled\1.exe

    Если не сложно, сделайте это: http://virusinfo.info/index.php?page=upload_clean

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от memorex
    У меня не Norton, а Symantec Antivirus Corporate Edition. Нортон был, я его уже давно убрала.
    Нортон и Симантек - одно и то же.
    "говорим "Ленин" - подразумеваем "партия", говорим "партия" - подразумеваем "Ленин"". так и здесь то же самое.

    Цитата Сообщение от memorex
    Nuke Nabber советовал провайдер в виде защиты от нюкеров.
    у Вас файервол стоит Outpost, он гораздо лучше и делает даже больше того, что умеет НюкНаббер. так что НюкНаббера можете выкинуть.
    тем более что атака Nuke вашей ОС (WinXP) не грозит.

    Цитата Сообщение от memorex
    А какой антивирь принципиально лучше?
    рекомендую что-то из Kaspersky, DrWeb, Nod32, Vba32.

    Цитата Сообщение от memorex
    C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp вдруг загадочным образом исчез.
    ищите лучше, через программу AVZ.
    просто так ничего не исчезает.

    Цитата Сообщение от memorex
    а :\Program Files\NoAdware4\noadwareutils.dll
    не могу загрузить в форум,сообщение, что некорректный сайт.
    правила форума читать надо! отправляйте файлы как Вам посоветовал HATTIFNATTOR

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от MOCT
    рекомендую что-то из Kaspersky, DrWeb, Nod32, Vba32.
    Я бы ещё BitDefender добавил.

    Цитата Сообщение от memorex
    C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp вдруг загадочным образом исчез.
    Цитата Сообщение от MOCT
    ищите лучше, через программу AVZ.
    просто так ничего не исчезает.
    это AVZ.SYS, лог делался с противодействием руткитам

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от RiC
    это AVZ.SYS, лог делался с противодействием руткитам
    тогда вопрос к Олегу: может пора сделать так, чтобы AVZ знал хотя бы себя??? а то постоянно AVZ висит в списке "грязных" файлов в исследовании системы.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от RiC
    Я бы ещё BitDefender добавил.


    это AVZ.SYS, лог делался с противодействием руткитам
    Нет, не слишком похоже это на avz.sys:
    - не совпадает длина, у avz.sys - больше;
    - avz.sys грузится в "исходном виде" (т.е. именно как avz.sys, а не иначе - если, конечно, Олег ничего не переделал в последнее время - полагаю, что нет );
    - avz.sys, насколько я понимаю, исключается из списка "незнакомых" драйверов...
    Последний раз редактировалось aintrust; 09.03.2006 в 13:19.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от MOCT
    тогда вопрос к Олегу: может пора сделать так, чтобы AVZ знал хотя бы себя??? а то постоянно AVZ висит в списке "грязных" файлов в исследовании системы.
    aintrust прав все три раза - avz.sys грузится как есть, из каталога AVZ и без переименования, и он естественно распознается как безопасный. Есть подозрение, что mc21.tmp - это что-то типа EXE/DLL, хранимой внутри какого-то приложения. Я подобное поведение десятки раз наблюдал на вполне безопасных программах

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от Зайцев Олег
    Есть подозрение, что mc21.tmp - это что-то типа EXE/DLL, хранимой внутри какого-то приложения.
    однозначно.

    а по поводу безопасности - пусть даже и безопасная, так все равно не помешает в базу чистых добавить, чтобы больше такие записи нас не смущали

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от MOCT
    однозначно.

    а по поводу безопасности - пусть даже и безопасная, так все равно не помешает в базу чистых добавить, чтобы больше такие записи нас не смущали
    Да как же этот "объект" добавить в базу безопасных, если каждый раз он создается (или же может создаваться) с новым именем?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от aintrust
    Да как же этот "объект" добавить в базу безопасных, если каждый раз он создается (или же может создаваться) с новым именем?
    а кто же их добавляет в базу по имени

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от MOCT
    а кто же их добавляет в базу по имени
    Да, действительно, перечитал еще раз - мое сообщение трудно не понять двусмысленно... Хотя то, что "объекты" добавляются в базу по имени, я вроде и не писал...

    Нет, тут имелось ввиду несколько другое: "объект" каждый раз временно (вот ключевое слово, которое я упустил в предыдущем сообщении) создается с новым именем, что затрудняет его добавление в базу (именно из-за временности, а не из-за нового имени, естественно), т.к., в большинстве случаев, после того момента, как "объектом" воспользовалась (к примеру, загрузила его в качестве драйвера) программа, его создавшая, этот "объект" (файл) физически удаляется (хотя при этом продолжает существовать в памяти) - в результате время жизни "объекта" на диске может составлять несколько десятков миллисекунд, что сильно затрудняет нахождение такого "объекта". Так, к примеру, поступает большинство утилит от Sysinternals, загружающих драйверы (Process Explorer, к примеру, или Rootkit Revealer). Если бы "объект" существовал хотя бы в течение времени жизни программы, его породившей, имея при этом неизменное имя, это (в некоторой степени, конечно) позволило бы облегчить его нахождение и последующее включение в базы "чистых" файлов.
    Последний раз редактировалось aintrust; 09.03.2006 в 21:20.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от aintrust
    Нет, тут имелось ввиду несколько другое: "объект" каждый раз временно (вот ключевое слово, которое я упустил в предыдущем сообщении) создается с новым именем, что затрудняет его добавление в базу (именно из-за временности, а не из-за нового имени, естественно), т.к., в большинстве случаев, после того момента, как "объектом" воспользовалась (к примеру, загрузила его в качестве драйвера) программа, его создавшая, этот "объект" (файл) физически удаляется (хотя при этом продолжает существовать в памяти) - в результате время жизни "объекта" на диске может составлять несколько десятков миллисекунд, что сильно затрудняет нахождение такого "объекта".
    а что, утилиты восстановления удаленных файлов уже отменили?

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от MOCT
    а что, утилиты восстановления удаленных файлов уже отменили?
    Это и не слишком надежно, и, по сути, бессмысленно для описанной мною выше ситуации...

    В большинстве случаев все эти временно загружаемые объекты легко "выдираются" из файлов многочисленными утилитами для работы с ресурсами (ResHacker, к примеру) - только вряд ли обычный пользователь (а мы ведь говорим именно о нем) станет этим заниматься (впрочем, как и предлагаемым вами восстановлением файлов).

    PS. По-моему, уже пошел полный офф-топик, пора завязывать...
    Последний раз редактировалось aintrust; 09.03.2006 в 22:35.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от aintrust
    В большинстве случаев все эти временно загружаемые объекты легко "выдираются" из файлов многочисленными утилитами для работы с ресурсами (ResHacker, к примеру) - только вряд ли обычный пользователь (а мы ведь говорим именно о нем) станет этим заниматься (впрочем, как и предлагаемым вами восстановлением файлов).
    впрочем, пользователь и не будет добавлять его к антивирусной базе.

    с чего мы начали? с того, что подгружаемые файлы трудно добавить в базу безопасных. чем мы закончили? тем что они без проблем выдираются редактором ресурсов. а о чем вообще тогда весь разговор? ну раз легко выдираются - так нужно добавлять!

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от MOCT
    впрочем, пользователь и не будет добавлять его к антивирусной базе.

    с чего мы начали? с того, что подгружаемые файлы трудно добавить в базу безопасных. чем мы закончили? тем что они без проблем выдираются редактором ресурсов. а о чем вообще тогда весь разговор? ну раз легко выдираются - так нужно добавлять!
    Хм... мне это казалось очевидным.

    Начали мы с того, что обычному пользователю "подгружаемые файлы трудно добавить в базу безопасных" (а, точнее, найти на диске и отослать такие файлы для обработки и последующего включения в базу чистых), а закончили (я надеюсь! ) тем, что продвинутому пользователю или профи это легко сделать, выдрав редактором ресурсов. Проблема только в том, что жалуются и просят помощи (смотрите исходное сообщение в этой ветке) именно те самые обычные пользователи, которые не станут ни "выдирать" эти файлы, ни восстанавливать их.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Тем более, что ещё надо знать, откуда из выдирать.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от pig
    Тем более, что ещё надо знать, откуда из выдирать.
    компетентность Олега уже под вопросом?

    если попадается легальный софт с такими дропами, то и подбрасываемые файлы добавляются базу и перестают светиться в логах. что тут вообще обсуждать? зачем тут инсинуации про обучение юзеров выдиранию ресурсов из файла, упакованного полиморфным упаковщиком???

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В компетентности Олега никто не сомневается. Это у меня непонятки - глядя на имя C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp, никак не могу собразить, в сторону какого именно легального софта надлежит поворотить голову.

  • Уважаемый(ая) memorex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 12.06.2009, 22:17
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    3. как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516
      От Dimin75 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:42
    4. Trojan.downloader.origin., trojan.proxy., BN2.tmp, BN3.tmp, load8
      От Vedmedya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.04.2008, 21:39
    5. Ответов: 22
      Последнее сообщение: 22.05.2007, 10:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00774 seconds with 17 queries