Показано с 1 по 20 из 20.

Trojan.DownLoader.21458 и подобные (заявка № 9354)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2007
    Адрес
    reskom, msk, ru
    Сообщений
    26
    Вес репутации
    63

    Thumbs up Trojan.DownLoader.21458 и подобные

    Здравствуйте! Прошу вас проверить эти логи, перестановка системы затруднена....как обычно.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\\dvt.exe','');
     QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
     QuarantineFile('\SystemRoot\System32\Drivers\dump_IdeChnDr.sys','');
     QuarantineFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\ldfjksdhejf.dll','');
     DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll');
     DeleteFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2

    и повторите логи AVZ
    Последний раз редактировалось Ego1st; 28.04.2007 в 14:20.
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Добавить надо строчку в скрипт.

    Код:
    QuarantineFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe','');
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    спасибо добавил, а то на работе немного невнимательный..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2007
    Адрес
    reskom, msk, ru
    Сообщений
    26
    Вес репутации
    63
    хмм...а добавил после того, как указали на ошибку, или до??...
    вобщем файла того, по тому адресу я в ручную не нашёл.
    скрипт был выполнен тот , что был до замечания коллеги, проверку сделал ....вот логи.

    и ещё вопрос: У меня на форуме видимо есть какое то общее кол-во вложений распространяющееся на все темы... когда лимит вложений закончится, я больше не смогу попросить помощи? или как мне обнулить мои вложения?
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    http://virusinfo.info/faq.php?faq=vb...chment_explain

    Там есть также волшебное слово " удалить"
    выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine();
     QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
     QuarantineFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cpssp.dll');
     BC_DeleteFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    C:\\dvt.exe -Что бы это значило ?

    может объясните, что у вас там файрволами происходит? У вас там и ca internet security i

    microsoft firewall client\isatray.exe
    Последний раз редактировалось drongo; 28.04.2007 в 15:15.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    dvt.exe - вчера в какой-то теме было, ничего опасного.
    cpssp.dll - однако никем не детектится...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    dvt.exe - крэк к NOD
    В логах NOD виден?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Нода нет, поэтому и спросил что-это и зачем оно в системе.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от MaXim Посмотреть сообщение
    dvt.exe - крэк к NOD
    В логах NOD виден?
    Насчет NOD'a я ошибался... Но файл таки не опасен.

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2007
    Адрес
    reskom, msk, ru
    Сообщений
    26
    Вес репутации
    63
    может объясните, что у вас там файрволами происходит? У вас там и ca internet security и microsoft firewall client\isatray.exe

    как таковой ca internet security не является прямой фаервольной программой, самого фаервола из этого пакета программ я не ставил(слишком много проблем с сетью), а microsoft firewall client\isatray.exe выполняет следующ9ую функцию: при исходящем инет соединении локальной машины ИСА сервер блокирует все не учтённые порты, и эта программа при постоянном соединении локальной машины со шлюзом обеспечивает открытие нужного порта для юзера при работе в конкретной программе.

    по поводу dvt.exe - ничего сказать немогу... что касательно нода, то он стоял до этого на машине, однако был удалён вместе с кряком... нигде подобных файлов я незамечал...там где работает нод32.

    поэтому я пожалуй уберу из скрипта удаление этих файлов
    cpssp.dll и dvt.exe , а просто отправлю их в карантин.

  13. #12
    Junior Member Репутация
    Регистрация
    01.03.2007
    Адрес
    reskom, msk, ru
    Сообщений
    26
    Вес репутации
    63
    кажется я поспешил с самоличным редактированием скрипта... вобщем выполняю скрипт как есть.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Если не поздно, уберите из скрипта строку
    BC_DeleteFile('C:\WINDOWS\system32\cpssp.dll');
    Это вроде от Крипто про библиотечка.

    После скрипта пофиксите
    Код:
    O2 - BHO: C:\WINDOWS\system32\ldfjksdhejf.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ldfjksdhejf.dll (file missing)
    и повторите логи п.10 и 12 правил.

  15. #14
    Junior Member Репутация
    Регистрация
    01.03.2007
    Адрес
    reskom, msk, ru
    Сообщений
    26
    Вес репутации
    63
    Цитата Сообщение от drongo Посмотреть сообщение
    http://virusinfo.info/faq.php?faq=vb...chment_explain
    Там есть также волшебное слово " удалить"
    волшебное слово "удалить" есть только в личных сообщениях, а я спрашиваю про вложения, которые забиваются у меня отчётами.

    Сумма всех вложений, принадлежащих Silver: 223.8 Кбайт

    скоро я подойду к лимиту вложений равному 244,1Кбайт.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    "Мой кабинет" - "Вложения"
    Там отметить старые логи и нажать "Удалить выделенные"

  17. #16
    Junior Member Репутация
    Регистрация
    01.03.2007
    Адрес
    reskom, msk, ru
    Сообщений
    26
    Вес репутации
    63
    Цитата Сообщение от Bratez Посмотреть сообщение
    Если не поздно, уберите из скрипта строку
    BC_DeleteFile('C:\WINDOWS\system32\cpssp.dll');
    Это вроде от Крипто про библиотечка.
    к сожалению скрипт выполнен... однако данный файл остался в карантине, я вроде бы его восстановил(нажал на кнопку "восстановить выделенные файлы"). надеюсь это поможет.
    Однако тут же вопрос: что означают символы "BC_" в строке?

    Bratez спасибо за пояснение!
    Вложения Вложения
    Последний раз редактировалось Silver; 28.04.2007 в 17:24.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Больше ничего подозрительного в логах нет.
    Только один вопрос: Remote Administrator сами ставили?

    BC_... - команды Boot Cleaner'a, работают после перезагрузки на начальном этапе запуска Windows.

  19. #18
    Junior Member Репутация
    Регистрация
    01.03.2007
    Адрес
    reskom, msk, ru
    Сообщений
    26
    Вес репутации
    63
    Да Radmin сам ставил целенаправленно.
    Значит если я просто восстановил файл из карантина, то его работоспособность не нарушится?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Значит если я просто восстановил файл из карантина, то его работоспособность не нарушится?
    Всё правильно

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ldfjksdhejf.dll - Trojan-Downloader.Win32.Bensorty.bg (DrWEB: Trojan.DownLoader.21660)


  • Уважаемый(ая) Silver, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 14
      Последнее сообщение: 06.09.2011, 09:41
    2. Ответов: 3
      Последнее сообщение: 12.06.2009, 23:17
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    4. как убрать Trojan.DownLoader.19241 и Trojan.MulDrop.5516
      От Dimin75 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:42
    5. Ответов: 22
      Последнее сообщение: 22.05.2007, 11:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00097 seconds with 18 queries