Показано с 1 по 17 из 17.

Trojan.DownLoader.18885. помогите победить (заявка № 8314)

  1. #1
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41

    Question Trojan.DownLoader.18885. помогите победить

    Trojan.DownLoader.18885 (Dr.Web 4.33.2.9262)

    Почему пишу тут?
    Потому, что выловил его в своей сети. Откуда взялся не могу понять.
    На сайте www.securitylab.ru искал про него информацию,
    ничего не нашел кроме этой -> http://www.securitylab.ru/virus/264365.php
    ""22 марта, 2006
    Троянская программа. Является приложением Windows (PE EXE-файл).
    Написана на языке C++. Упакована UPX. Размер зараженного файла —
    23552 байта. Размер распакованного файла — 56832 байта.

    Программе соответствует прозрачный значок, вследствие чего её
    трудно заметить в некоторых файловых менеджерах.

    Данная версия троянца полностью идентична варианту Trojan.Win32.Lipgame.a.
    Единственным отличием является только то, что вместо проверки на наличие
    в системе объекта с именем %Program Files%\CoolspotD\ialer Control производится
    проверка на наличие объекта с именем %Program Files%\Coolspot\Dialer Control.""
    но не уверен что это то самое.

    ...и тут на форуме ничего конкретного не нашел... (может плохо искал, но до боли в глазах)

    Вобщем записывается два файла (прикреплены) в открытые для общего полного доступа по сети папки.
    причем не важно скрытый это ресурс или открытый (т.е. у меня на компе создано два общих сетевых
    ресурса "cc$" и "Public". Соответственно первый в сетевом окружении не виден в отличие от второго)
    В тоже время в стандартные сетевые ресурсы (такие как "c$" "d$" "Admin$" и т.д.) вроде не пишется.
    Достоверной возможности проверить это небыло, поскольку все стандартные ресурсы отключены.

    Вопрос такого рода. как с этим зверем бороться? Откуда растут корни? И какие последсвия могут быть?

    К специалистам:
    упаковал этого зверя в архивчик. лежит тут (простите за рапиду, больше некуда залить...) если нужно, могу залить его на Е-мэйл, или еще куда...

    Содержание архива .rar:

    ReadMe.txt = 1 528 байт
    autorun.inf = 43 байт (переименован *.#nf)
    setup.exe = 23 552 байт (переименован *.#xe)

    Пароль на архив: пишите в личку скажу

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Вам, похоже, в раздел "Помогите!"
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от PavelA Посмотреть сообщение
    Вам, похоже, в раздел "Помогите!"
    согласен, но я думаю не стоит дублировать сообщение и там?
    если что Администрация может переместить тему туда...
    простите если ни туда написал...

    Но очень нужна помощь в борьбе с этой заразой...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1641
    Цитата Сообщение от V@lik Посмотреть сообщение
    Но очень нужна помощь в борьбе с этой заразой...
    Так выполните правила ( http://virusinfo.info/showthread.php?t=1235 ) обращения, переместим ;-)

  6. #5
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41

    Trojan.DownLoader.18885. помогите победить

    Продублировал свое сообщение
    тут. уже по правилам.

    Trojan.DownLoader.18885 (Dr.Web 4.33.2.9262)

    Выловил его в своей сети. Откуда взялся не могу понять.
    На сайте www.securitylab.ru искал про него информацию,
    ничего не нашел кроме этой -> http://www.securitylab.ru/virus/264365.php
    ""22 марта, 2006
    Троянская программа. Является приложением Windows (PE EXE-файл).
    Написана на языке C++. Упакована UPX. Размер зараженного файла —
    23552 байта. Размер распакованного файла — 56832 байта.

    Программе соответствует прозрачный значок, вследствие чего её
    трудно заметить в некоторых файловых менеджерах.

    Данная версия троянца полностью идентична варианту Trojan.Win32.Lipgame.a.
    Единственным отличием является только то, что вместо проверки на наличие
    в системе объекта с именем %Program Files%\CoolspotD\ialer Control производится
    проверка на наличие объекта с именем %Program Files%\Coolspot\Dialer Control.""
    но не уверен что это то самое.

    ...и тут на форуме ничего конкретного не нашел... (может плохо искал, но до боли в глазах)

    Вобщем записывается два файла (прикреплены) в открытые для общего полного доступа по сети папки.
    причем не важно скрытый это ресурс или открытый (т.е. у меня на компе создано два общих сетевых
    ресурса "cc$" и "Public". Соответственно первый в сетевом окружении не виден в отличие от второго)
    В тоже время в стандартные сетевые ресурсы (такие как "c$" "d$" "Admin$" и т.д.) вроде не пишется.
    Достоверной возможности проверить это небыло, поскольку все стандартные ресурсы отключены.

    Вопрос такого рода. как с этим зверем бороться? Откуда растут корни? И какие последсвия могут быть?

    К специалистам:
    упаковал этого зверя в архивчик Trojan.DownLoader.18885.rar и запаролил от греха подальше....

    Содержание архива .rar:
    ReadMe.txt = 1 528 байт
    autorun.inf = 43 байт (переименован *.#nf)
    setup.exe = 23 552 байт (переименован *.#xe)



    Вот логи.VirusInfo_logs.rar = 57 996 байт

    Лог DrWeb.drweb32w.log = 1 786 байт
    Последний раз редактировалось Shu_b; 09.03.2007 в 19:49.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1641
    Для загрузки вредного и подозрительного существует специальная форма загрузки, всё описано в правилах.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Однако у вас много неизвестных . Начнём пожалуй с тех которые в карантине AVZ плюс те, которые должны попасть туда послe исполнения скрипта :

    Код:
    begin
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\Urdu98.dll','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\PDMSIN~1.DLL','');
     QuarantineFile('C:\WINDOWS\wc98pp.dll','');
     QuarantineFile('C:\WINDOWS\system32\vistaui.exe','');
    end.

    Пришлите по 3 пункту правил .

  9. #8
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41
    заметил еще одну особенность.
    в те расшаренные ресурсы положил по два файла нулевого размера с атрибутами "ReadOnly". теперь уже в оригинале вирус не записывается туда...

    сейчас по правилам сканирую комп с жаражаемыми ресурсами (тот на котором и положил нулевые файлы). позже вышлю все логи...

    предыдушие логи были с моего компа. на нем все ресурсы закрыты, и установлен FTP-Server для доступа к информации.

    и далее., объясните пожалуйста, как мне по правилам добавить файлы самого вируса в карантин, если я их удалил... не заражать же мне поновой этот комп вирусом, дабы добавить его в карантин по правилам!!! разве не так?
    Они у меня как раз лежат в отдельном архиве который я выкладывал тут. но администрация форума удалила прикрепление с ним из соображения безопасности наверняка... и я с этим согласен.
    буду очень благодарен, если найдется такой (другой) вариант передать Вам вредоносный продукт творения рук человека...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1292
    К теме можно прикреплять только логи.
    Компьютер свой не надо заражать. Присылайте то, что есть.
    Файлы вирусов/подозрительных файлов нужно загружать через форму:
    http://virusinfo.info/upload_virus.php?tid=8314

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Ну если очень хочется : Запакуйте вирус в zip архив стандартным паролем virus и по ссылке http://virusinfo.info/upload_virus.php?tid=8314
    а также те файлы которые просил ранее по правилам .Если всё выполните верно, авз сам их запакует в зип

  12. #11
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от drongo Посмотреть сообщение
    Однако у вас много неизвестных . Начнём пожалуй с тех которые в карантине AVZ плюс те, которые должны попасть туда послe исполнения скрипта :

    Код:
    begin
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\Urdu98.dll','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\PDMSIN~1.DLL','');
     QuarantineFile('C:\WINDOWS\wc98pp.dll','');
     QuarantineFile('C:\WINDOWS\system32\vistaui.exe','');
    end.

    Пришлите по 3 пункту правил .
    по скрипту отослал. (Quarantine-2007-03-09.zip) по форме


    дальше отослал файл карантина с заражаемого компа (quarantine_Zu.zip) тоже по форме
    а вот с него логи. Zu.zip

    сам вирус также отправил по форме (Trojan.DownLoader.18885.zip)

    все сделал по правилам... (пароли, архиваторы и т.д.)

  13. #12
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41
    Доброго времени суток всем!!!

    неужели ни кто не может мне помочь победить этот вирус?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1292
    Цитата Сообщение от V@lik Посмотреть сообщение
    Доброго времени суток всем!!!

    неужели ни кто не может мне помочь победить этот вирус?
    Что вы имеете ввиду?
    Это троян его нужно просто удалить.

  15. #14
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Что вы имеете ввиду?
    Это троян его нужно просто удалить.
    так просто удаление проблемы не решает.
    обЪясню еще раз...

    у меня в сети 33 компа (домашняя сеть)
    и этот троян постоянно лезет в шары открытые для полного доступа.
    мне нужно выяснить откуда он приходит...
    вернее я знаю что есть зараженный комп в сети, и он его рассылает по ней. как мне найти этот зараженный комп? и как писал ранее

    "заметил еще одну особенность.
    в те расшаренные ресурсы положил по два файла нулевого размера с атрибутами "ReadOnly". теперь уже в оригинале вирус не записывается туда..."


    но таким образом я решил проблему появления трояна на одном компе, но это не полноценное решение проблемы. не так ли? держать на компе лишние нулевые файлы не интересно...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1292
    Установите Outpost на тот компьютер, куда записывается троян.
    Когда запишется, посмотрите в Журнеле Outpost-а историю NetBIOS, какой компьютер подключался во время создания файла трояна.

  17. #16
    Junior Member Репутация
    Регистрация
    09.03.2007
    Адрес
    Борисов, Беларусь
    Сообщений
    8
    Вес репутации
    41
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Установите Outpost на тот компьютер, куда записывается троян.
    Когда запишется, посмотрите в Журнеле Outpost-а историю NetBIOS, какой компьютер подключался во время создания файла трояна.
    спасибо. попробую. позже отпишу...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    955

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. \\trojan.downloader.18885\\setup.exe - Trojan-Proxy.Win32.Horst.xc (DrWEB: Trojan.DownLoader.18885)


  • Уважаемый(ая) V@lik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите победить Trojan.Packed.21756
      От killcomp в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.07.2011, 10:54
    2. trojan.win32.ddox.ci - помогите победить
      От vserg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.06.2011, 11:21
    3. Помогите победить вирус "Trojan-Ransom.Win32.Agent.g"
      От sergiosa в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.12.2009, 00:07
    4. Не могу победить Downloader!
      От GamerL77 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.09.2008, 23:03
    5. Помогите, Trojan Downloader
      От Monarch в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.06.2008, 21:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00898 seconds with 17 queries