Показано с 1 по 15 из 15.

Помогите пожалуйста избавится от заразы. Trojan.Fakealert.249 (заявка № 8155)

  1. #1
    Junior Member Репутация
    Регистрация
    26.02.2007
    Сообщений
    11
    Вес репутации
    41

    Thumbs up Помогите пожалуйста избавится от заразы. Trojan.Fakealert.249

    Здравствуйте!
    Завелся у меня троян .
    Каждый раз после загрузки системы и выхода в интернет Dr.Web выдает сообщение: "C:\WINDOWS\system32\drvcot.dll - инфицирован Trojan.Fakealert.249". Я его удаляю (или перемещаю в карантин) но на следующий раз все повторяется. При чем я пробовал проверить эту drvcot.dll через онлайн форму Касперского, так он говорит: "Проверенный файл: drvcot.dll - Инфицирован
    drvcot.dll - инфицирован Trojan.Win32.Agent.qt". Так что я даже не знаю какой троян у меня сидит. Ведь не могут быть два трояна в одном файле? Или это один и тот же троян с разными названиями? Информации по ИМЕННО ЭТИМ разновидностям трояна в интернете я не нашел. Есть много других, а именно .249 или .qt нету...
    И еще, очень хотелось бы по возможности узнать, что же делает(ют) этот троян?
    Ну и на последок, мысль не профессионала. Что-то мне подсказывает, что источник заразы не в drvcot.dll т.к. я его удалял, а он появляется снова...
    Логи прилагаю.
    Заранее очень признателен за помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    АВЗ - файл - выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('winmxw32.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
     QuarantineFile('C:\WINDOWS\system32\drvcot.dll','');
    QuarantineFile('C:\WINDOWS\system32\wmfhotfix.dll',''); 
    DeleteFile('C:\WINDOWS\system32\drvcot.dll');
     DeleteFile('winmxw32.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится, после этого пришлите файл карантина согласно приложению 2 правил, начиная с п.5.

    Пофиксите
    Код:
    O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvcot.dll,startup
    O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)
    Также, если не прописывали сами и не знаете, откуда это, пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{01896920-F1FF-4DF5-BBAE-8CE391CDC6BF}: NameServer = 10.10.10.3,172.16.196.255
    O17 - HKLM\System\CS1\Services\Tcpip\..\{01896920-F1FF-4DF5-BBAE-8CE391CDC6BF}: NameServer = 10.10.10.3,172.16.196.255
    O17 - HKLM\System\CS2\Services\Tcpip\..\{01896920-F1FF-4DF5-BBAE-8CE391CDC6BF}: NameServer = 10.10.10.3,172.16.196.255
    После всего сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    26.02.2007
    Сообщений
    11
    Вес репутации
    41
    Выполнил все по порядку, как Вы и написали.
    После первого пункта отправил файл карантина.
    С остальными вышли проблемы:

    O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvcot.dll,startup
    O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)
    Эти строки я просто не нашел... Они пропали или я слепой?

    O17 - HKLM\System\CCS\Services\Tcpip\..\{01896920-F1FF-4DF5-BBAE-8CE391CDC6BF}: NameServer = 10.10.10.3,172.16.196.255
    O17 - HKLM\System\CS1\Services\Tcpip\..\{01896920-F1FF-4DF5-BBAE-8CE391CDC6BF}: NameServer = 10.10.10.3,172.16.196.255
    O17 - HKLM\System\CS2\Services\Tcpip\..\{01896920-F1FF-4DF5-BBAE-8CE391CDC6BF}: NameServer = 10.10.10.3,172.16.196.255
    Эти строки я сам не прописывал, но после того как я их пофиксил у меня напрочь отказался запускаться интернет. Хорошо хоть сообразил в чем дело и как вернуть все обратно. (Позволю себе дать Вам совет, опишите в правилах процедуру бэкапа в hijackthis. Не все хорошо знают английский и могут разобраться в тонкостях программы...). По этому прилагаю логи сделанные после того, как я вернул три строки (017) на место.
    И еще вопрос, в процессе сканирования avz4 выдает фразу: "6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем". Хотя я ничего не отключал... Это нормально?
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Цитата Сообщение от Bormatolog Посмотреть сообщение
    Эти строки я просто не нашел... Они пропали или я слепой?
    АВЗ их подчистил, скорее всего.
    Эти строки я сам не прописывал, но после того как я их пофиксил у меня напрочь отказался запускаться интернет.
    Интернет у вас выделенный, через эту контору? http://www.tc-exe.ru/ Тогда все нормально, сорри, что сразу не глянул.
    (Позволю себе дать Вам совет, опишите в правилах процедуру бэкапа в hijackthis. Не все хорошо знают английский и могут разобраться в тонкостях программы...).
    Сделаем обязательно
    Последний раз редактировалось anton_dr; 26.02.2007 в 09:41.

  6. #5
    Junior Member Репутация
    Регистрация
    26.02.2007
    Сообщений
    11
    Вес репутации
    41
    А что в остальном, присланный файл + новые логи, теперь у меня все в порядке? Троян наконец побежден? Или Вы еще не посмотрели?

    И Вы не ответили,:
    1. А что все же делает эта разновидность трояна и что это было Trojan.Fakealert.249 или Trojan.Win32.Agent.qt? Просто любопытно, для общего развития так сказать. К стати если нужно, могу прислать саму зараженную drvcot.dll. Она у меня пока сидит в карантине Dr.Web...

    2. В процессе сканирования avz4 выдает фразу: "6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем". Хотя я ничего не отключал... Это нормально?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Все-таки вы ее не увидели. Пофиксите строчку, она там есть
    O20 - Winlogon Notify: winmxw32 - C:\WINDOWS\

    drvcot.dll был в присланном Вами карантине. Теперь должно быть все чисто.
    Последний раз редактировалось anton_dr; 26.02.2007 в 10:11.

  8. #7
    Junior Member Репутация
    Регистрация
    26.02.2007
    Сообщений
    11
    Вес репутации
    41
    Спасибо, пофиксил. Я воспринял Ваше указание буквально и искал строку:
    O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)
    а не
    O20 - Winlogon Notify: winmxw32 - C:\WINDOWS\

    Ну теперь все впорядке, можно успокоиться?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Как бы да. Жалобы есть?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Если нет проблем с трафиком, можно прислать нам чистые файлы, для пополнения базы АВЗ
    http://virusinfo.info/showthread.php?t=3519

  11. #10
    Junior Member Репутация
    Регистрация
    26.02.2007
    Сообщений
    11
    Вес репутации
    41
    Цитата Сообщение от anton_dr Посмотреть сообщение
    drvcot.dll был в присланном Вами карантине. Теперь должно быть все чисто.
    Так в том и вся хитрость. Было так: После загрузки Windows и выхода в интернет Dr.Web выдавал сообщение: "C:\WINDOWS\system32\drvcot.dll - инфицирован Trojan.Fakealert.249". Я его удалял (а один раз на всякий случай сохранил в карантине). Но после этого он "Поиском" все равно обнаруживался в директории C:\WINDOWS\system32\. Но при его проверке Dr.Web уже говорил, что файл чистый. А после перезагрузки все повторялось и он опять оказывался инфицированным.

    Я это все к тому говорю, что сейчас вроде все нормально, по крайней мере Dr.Web не ругается больше. Но в зараженном виде drvcot.dll у меня в карантине пока остался и если надо, я могу прислать его Вам для опытов так сказать . Ну а если он Вам не нужен, скажите и я его просто удалю...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Сейчас тот файл есть в директории C:\WINDOWS\system32\ ?
    Я не знаю специфики работы Веба, почему он обнаруживался там после удаления, и считался чистым, возможно подскажут те, кто пользуется им. Но в любом случае, такого файла в поставке Windows быть не должно. А зараженный файл у нас как я уже говорил есть, можете смело удалять. Вот результат проверки присланного.
    Complete scanning result of "avz00001.dta", received in VirusTotal at 02.26.2007, 08:16:54 (CET).

    Antivirus Version Update Result
    AntiVir 7.3.1.38 02.26.2007 TR/Agent.QT.76
    Authentium 4.93.8 02.25.2007 no virus found
    Avast 4.7.936.0 02.26.2007 no virus found
    AVG 386 02.25.2007 Generic3.SQ
    BitDefender 7.2 02.26.2007 no virus found
    CAT-QuickHeal 9.00 02.24.2007 Trojan.Agent.qt
    ClamAV devel-20060426 02.26.2007 no virus found
    DrWeb 4.33 02.25.2007 Trojan.Fakealert.249
    eSafe 7.0.14.0 02.25.2007 Win32.Agent.qt
    eTrust-Vet 30.4.3434 02.26.2007 Win32/Aflac.D
    Ewido 4.0 02.25.2007 Trojan.Agent.qt
    FileAdvisor 1 02.26.2007 no virus found
    Fortinet 2.85.0.0 02.26.2007 W32/Agent.QT!tr
    F-Prot 4.3.1.45 02.25.2007 no virus found
    F-Secure 6.70.13030.0 02.26.2007 Trojan.Win32.Agent.qt
    Ikarus T3.1.0.31 02.26.2007 Trojan.Win32.Agent.qt
    Kaspersky 4.0.2.24 02.26.2007 Trojan.Win32.Agent.qt
    McAfee 4970 02.23.2007 no virus found
    Microsoft 1.2204 02.26.2007 no virus found
    NOD32v2 2080 02.25.2007 no virus found
    Norman 5.80.02 02.23.2007 W32/Agent.BAPF
    Panda 9.0.0.4 02.25.2007 Adware/WinAntivirus2006
    Prevx1 V2 02.26.2007 Malicious
    Sophos 4.14.0 02.24.2007 no virus found
    Sunbelt 2.2.907.0 02.24.2007 Trojan.Win32.Agent.qt
    Symantec 10 02.26.2007 Trojan Horse
    TheHacker 6.1.6.065 02.26.2007 Trojan/Agent.qt
    UNA 1.83 02.23.2007 Trojan.Win32.Agent.8BE4
    VBA32 3.11.2 02.25.2007 Trojan.Win32.Agent.qt
    VirusBuster 4.3.19:9 02.25.2007 Trojan.Agent.SCS

    Aditional Information
    File size: 93696 bytes
    MD5: 73bb2cee8a6d4cae30c79d9a63861e33
    SHA1: 99daeb65cea310d9dd9f3dd114f610a57874fd67
    packers: PecBundle, PECompact
    Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=8fa476621688
    Sunbelt info: Trojan.Win32.Agent.qt is a trojan that steals information from the infected machine and sends the data to a remote website.

  13. #12
    Junior Member Репутация
    Регистрация
    26.02.2007
    Сообщений
    11
    Вес репутации
    41
    Вроде все понял. Сейчас такого фала (drvcot.dll) вообще нет на диске.
    Большое спасибо за очень оперативную и квалифицированную помощь!!!

    И еще один вопрос не по теме если позволите: Есть у меня в директории WINDOWS большая куча директорий типа
    C:\WINDOWS\$hf_mig$\ в ней много директорий KB873339, KB885835, KB885836 и т.д.
    И
    C:\WINDOWS\$MSI31Uninstall_KB893803v2$\
    C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPI s$\
    C:\WINDOWS\$NtUninstallKB873339$\
    Названия этих директорий написано синим цветом. В каждой из них присутствует по несколько файлов (типа SPUNINST.EXE, spuninst.inf, lsasrv.dll)
    Я так полагаю, что эти директории связаны с обновлением Windows. Но вот вопрос, нужны ли они или их надо поудалять? Ведь обновления уже установлены...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Не стоит. Они не занимаю много места, а в принципе, могут пригодиться. Если вы их удалите, пропадет возможность деинсталлировать обновления. Хотя, на моей практике это требовалось раза два всего, но, кто знает, может это именно ваш случай.

  15. #14
    Junior Member Репутация
    Регистрация
    26.02.2007
    Сообщений
    11
    Вес репутации
    41
    Еще раз большое спасибо!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drvcot.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Fakealert.249)


  • Уважаемый(ая) Bormatolog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 03.09.2010, 21:20
    2. Помогите пожалуйста избавится от вирусов!!
      От Андрей2010 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.01.2010, 01:47
    3. Помогите избавится от заразы!!!
      От Demoniq3000 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 19.12.2009, 13:38
    4. Ответов: 7
      Последнее сообщение: 28.11.2009, 14:11
    5. Ответов: 1
      Последнее сообщение: 03.11.2006, 07:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00423 seconds with 17 queries