как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516
Просьба помочь разобраться в вирусной активности на машине.
Пишу по просьбе знакомого, поэтому, возможно, описание проблем
будет не совсем точным, но выдержки из log-файлов вроде бы стандартам соответствуют.
Признаки проблемы - на машине плохо работает программа Internet Explorer - то закрывается, то вообще не запускается.
Монитор spider периодически находит и удаляет вирусы типа
Trojan.MulDrop.5516 :
17-03-2007 18:17:07 [CL] C:\WINDOWS\System32\totour.exe - infected with Trojan.MulDrop.5516
А также
Trojan.DownLoader.19241:
17-03-2007 18:22:06 C:\WINDOWS\System32\x2f4fr.dll - infected with Trojan.DownLoader.19241 and cannot be cured
Соответсвующие логи проверок прилагаются.
Надеюсь на квалифицированную помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки может пропасть Инет.
Если пропадет Инет, то запустить winsockfix.exe
После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
Это только начало лечения!!
Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
После перезагрузки может пропасть Инет.
Если пропадет Инет, то запустить winsockfix.exe
После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
Это только начало лечения!!
Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
Ок, попробуем. Насколько я понимаю, сервис пак 2 надо будет ставить уже после окончания лечения?
После перезагрузки может пропасть Инет.
Если пропадет Инет, то запустить winsockfix.exe
После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
Это только начало лечения!!
Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
После перезагрузки может пропасть Инет.
Если пропадет Инет, то запустить winsockfix.exe
После загрузить карантин через форму для загрузки (НЕ СЮДА!!!)
Это только начало лечения!!
Рекомендовано поставить SP2, а то замучаемся штопать дырки в Виндах.
Наконец-то удалось выполнить действия по закачке.
Знакомому приходится помогать удаленно, поэтому результат
не слишком быстр.
Из запрошенных файлов удалось отправить только
C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe и
C:\WINDOWS\dbmmgr32.dll
Остальные не пересылаются и на карантин не ставятся, поскольку
почему-то отсутствуют на машине после выполнения стандартных
процедур avz. Возможно они находятся среди инфицированных файлов.
Если необходимо, могу переслать и их.
Жду советов по части лечения.
C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe - Virus.Win32.Grum.a (по Касперскому)
По второму C:\WINDOWS\dbmmgr32.dll итог более интересный
AhnLab-V3 2007.4.10.0 04.11.2007 no virus found
AntiVir 7.3.1.50 04.11.2007 no virus found
Authentium 4.93.8 04.11.2007 W32/Agent.BVH
Avast 4.7.936.0 04.10.2007 no virus found
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.11.2007 Trojan.SpamBot.H
CAT-QuickHeal 9.00 04.10.2007 no virus found
ClamAV devel-20070312 04.11.2007 no virus found
DrWeb 4.33 04.11.2007 Trojan.Spambot
eSafe 7.0.15.0 04.10.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3560 04.11.2007 no virus found
Ewido 4.0 04.10.2007 no virus found
FileAdvisor 1 04.11.2007 no virus found
Fortinet 2.85.0.0 04.11.2007 suspicious
F-Prot 4.3.1.45 04.11.2007 W32/Agent.BVH
F-Secure 6.70.13030.0 04.11.2007 no virus found
Ikarus T3.1.1.5 04.11.2007 SpamTool.Win32.Agent.u
Kaspersky 4.0.2.24 04.11.2007 no virus found
McAfee 5005 04.10.2007 Spam-Xarvester
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2180 04.11.2007 no virus found
Norman 5.80.02 04.10.2007 no virus found
Panda 9.0.0.4 04.11.2007 no virus found
Prevx1 V2 04.11.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.11.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 no virus found
VirusBuster 4.3.7:9 04.10.2007 Spamtool.Agent.Gen.!Pac
Webwasher-Gateway 6.0.1 04.11.2007 Win32.UPXpacked.gen!94 (suspicious)
Думаю, тоже надо удалять. Скрипт будет в след. сообщении
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
В AVZ выполнить скрипт:
После перезагрузки прислать карантин, если что-то попадет, по форме.
А также boot_clr.log в директории AVZ.
Скрипт выполнили, файлы попавшие в карантин (по-моему там файлы размером по 0 байт) отправлены через форму (virus-14.zip). Файл
boot_clr.log выкладываю здесь.
Если все в норме, будем чистить 'C:\DOCUME~1\Paul\LOCALS~1\Temp\' и ставить SP2.
К сожалению в этот раз с лечением нас постигла неудача...
Похоже все придется делать сначала.
Описываю ситуацию по шагам, опять же со слов пользователя...
1. Все скрипты были выполнены, протокол выслан сюда.
Вирусной активности не наблюдалось.
2. При помощи winsockfix было подправлено соединение в интернет.
3. На каком-то этапе произошел сбой системы, после чего в каталоге
c:\windows появился файл dump***.*** (звездочки стоят, поскольку
не помню цифр и расширений), который вроде как соответствует дампу,
образующемуся при сбоях винды.
4. Файл появившийся в п. 3 при загрузке винды стал приводит к проверке диска на ошибки. Все время появлялось сообщение о пересекающейся ссылке на этом файл и на этом проверка и исправление зависали.
5. П. 4 был исправлен с применением загрузочного диска LiveCD
от philka.ru.
6. После этого система в обычном режиме стала загружаться, но
после нескольких минут работы стабильно шла на перезагрузку.
Зато уже появилась возможность загрузить безопасный режим.
7. В безопасном режиме был сделан откат и восстановление параметров системы на имевшиеся там 12-дневной давности. Точка восстановления была сделана не вручную, а автоматически самой виндой.
8. После отката системы на предыдущее состояние 12-дневной давности все заработало стабильно, но spider показывает при каждом подключении к интернет появление на машине в temp каталогах появление библиотек и программ, зараженных троянцами. К тому же наблюдается повышенная активность закачивания чего-то из интернета. При этом в списке запущенных задач обнаруживается одна-две копии ieexplore, которые не отражаются на панели задач.
При этом, если запустить IE стандартным путем, то он ничего не
закачивает. Установленная на этом же компе Opera, работает нормально.
9. Отсюда опять выполнение стандартной процедуры сбора информации при помощи avz. Собранные логи прилагаю.
10. В дополнение пользователю рекомендовано и объяснено как поставить firewall с ограничителем траффика (программа NetLimiter 2).
Может хоть сможем отловить того, кто создает траффик на линии.
Поскольку у пользователя стоит dsl с оплатой по траффику, то неотслеживание может дорогого стоить...
хороший набор
надо ещё SP2 поставить на виндовс
Пусть скачает последнею авз 4.25 , на будущее .
Ок, спасибо, попробуем все выполнить по пунктам.
А приведенный выше код подойдет для avz 4.23 с обновленными базами? По-моему у пользователя эта версия. Или для выполнения скрипта лучше поставить новую версию?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: