Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Похоже Trojan-Downloader.Win32.Small (заявка № 8657)

  1. #1
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63

    Exclamation Похоже Trojan-Downloader.Win32.Small

    После ежемесячной проверки антивирусами, удалил 5-10 троянов(каперским+ДрВеб, были проблемы с WinLogOn.exe, но его восстановил,и теперь всё в норме). В районе 19-21 марта, на системном диске заметил файлик as.txt(содержащий список е-мейлов, выдернутых из посещённых страничек). Решил провериться ещё раз, нашлось пара вирусов(трояны,даунлодеры,стартеры). всё удалилось так же ДрВебом и Касперским.

    На днях, фаервол(Аутпост), начал пресекать "долбёжку" IE по 25 порту, на различные сайты mxs.mail.ru, 208.66.195.167... Ну собственно,пошло поехало...

    По сей день,не могу выцепить сей вирус(runtime.sys,main.sys,ip6fw.sys - всплывали в ходе проверок, либо как помещённые в не тот раздел загрузки,либо сразу при старте системы, ip6fw.sys определялся ДрВебом как Троян.Даунлодер.

    Сегодня нашел http://www.z-oleg.com/secur/virlist/vir1284.php практически 1 в 1, только как удалить ету бяку,там нету...
    Постоянные проверки, находят:
    Rootkit.Win32.Agent.dp
    Rootkit.Win32.Agent.ady

    P.S п.10 выполнить не смог, AVZ висит(три раза перегружался, убирал все процессы, запускал,и получал висение),внизу написано ток(начал выполняться пункт 1.2.) netapi32.dll:RxRemoteApi(332)
    P.S2 Хочется убрать заразу(вошел в азарт,чтоли)+не очень хочется форматить диск.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    Залил третий файл...
    Вложения Вложения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\XPROTECTOR.SYS','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\svchost.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина AVZ согласно приложению 3 правил.
    Последний раз редактировалось Bratez; 27.03.2007 в 14:34.

  5. #4
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    опять ступориться на netapi32.dll:RxRemoteApi(332) (((((

  6. #5
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    Вроде файл as.txt пропал... но почему-то не могу зайти в папку систем32\драйверс (проводник виснет).
    Авз - только в сейф модах нашла XPROTECTOR.SYS.

    Что делать?(

  7. #6
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    Файл сохранён как 070328_014706_virus_460990dad0a67.zip
    Размер файла 20880
    MD5 074a006df3bfb3314382f11000e6df97

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Можно сразу же профиксить в HijackThis:

    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    Что не нравиться мне еще строчка в логе АВЗ
    Код:
     Маскировка процесса с PID=3516, имя = "cmd.exe"
     >> обнаружена подмена PID (текущий PID=0, реальный = 3516)
    Последний раз редактировалось PavelA; 28.03.2007 в 11:44.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    По сообщению вирлаба XPROTECTOR.SYS чист.
    Попробуем так: выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     DeleteFile('C:\WINDOWS\TEMP\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    Скрипт выполнил, перегрузил... и опять, пошло поехало(((
    Iexplore.exe долбиться на:
    194.67.23.20
    64.233.183.27 SMTP (TCP:25)
    66.111.4.73
    216.157.145.27

    IEXPLORE.EXE TCP локальное:любое 1785 208.66.195.167 2503 *Блокировать Исходящее Локальный TCP на 2503 --- ИСХ БЛОКИРОВАНО 18:33:35 05 сек. 0 байт 0 байт 0 байт/с

    Через трацерт проверял ипы, они какие-то странные...
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Строчки, что я писал, в логе Хиджака надо профиксить. Интересно, что делает в процессах cmd.exe? Сами открывали окно командной строки?

    Затем запускаем AVZ. Включаем AVZPM. Выполняем стандартный скрипт по сбору информации, засылаем лог сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    Нет,окно вроде не открывал.
    запускал АвзПМ, запустил пункт 2, в стандартных скриптах.


    во время проверки и в данный момент ИЕ бьётся головой об фаервол)
    cmd.exe запускал перед последней проверкой,закрыл и начал проверяться.
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    По всем признакам, это то, о чем предпологалось в #1 этой темы.

    в AVZ выключить AVZPM, затем выполнить скрипт.
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
     DeleteFile('\??\C:\WINDOWS\system32\main.sys');
     DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
    BC_ImportDeletedList;
     // Чистка ссылок на удаленные файлы
     ExecuteSysClean; 
     // Активация драйвера Boot Cleaner
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки прислать boot_clr.log
    Последний раз редактировалось PavelA; 28.03.2007 в 20:16.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    PavelA
    Да,я писал(выше) что по симптомам - оно)))

    Спасибо,буду ждать)


    И ещё, если можно,тему не закрывайте потом... у девушки,такой же вирь сидит(и получен примерно в тоже время), правда у неё нет фаервола, стоит какой-то простенький антивирь...

    Зафтра, буду её комп лечить)
    Последний раз редактировалось TaG; 28.03.2007 в 20:14.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нарисовал в верху. Не совсем уверен в правильности, но убивать нужно именно это.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    другая система в новой теме, иначе пеняйте на себя ))

  17. #16
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    drongo

    Ок)))

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нет времени ждать. Пора домой

    О результатах посмотрю завтра.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    Скрипт прогнал, файла с логом boot_clr.log найти не могу(

    Но фаервол всёравно ловит "бьющихся об стену"(

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Он в директории, где лежит AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    27.03.2007
    Сообщений
    14
    Вес репутации
    63
    PavelA

    Нету(((

  • Уважаемый(ая) TaG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 30.10.2009, 18:44
    2. Trojan-Downloader.Win32.Small.uhr
      От Ивпал в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 05:31
    3. Trojan-Downloader.Win32.Small.hwc
      От Alejandro в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:01
    4. Trojan-Downloader.Win32.Small.etc
      От SingifineS в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:00
    5. Trojan.Downloader.Win32.Small.hul
      От Maxxmen в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.03.2008, 13:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00247 seconds with 20 queries