Перейти к содержанию
smag

Как лечить trojan-Downloader.Win32.Small.dxm

Recommended Posts

smag

Ребят, выручайте... :(

Приключилась беда.

trojan-Downloader.Win32.Small.dxm

Стоит каспер, базы свежие.

Захожу на сайт(при необходимости укажу)

Каспер начинает ругаться, я нажимаю удалить, все как всегда.

Но он кричит, что удалить не могу.

regcleaner чистю реестр - там две новых записи:

{e1-1c-c0-2n} system32dwdsregt.exe SKY001

userFaultChech %systemroot%system32dumprep 0-u

В диспечере появляются:

stdrun6.exe

dwdsregt.exe

Завершаются спокойно, без ругательств.

После перезагрузки, вылезли порядка 6 новых процессов.

Каспер ругается на winlogon.exeldcore.dll и на system32ldcore.dll

При попытке удалить ругается, что нельзя.

PS Все приключилось дома, а щас наработе, а сам понимаю, что нужно было чикать файлы ldcore.dll в безопасном режиме.

Ребят как эту нечисть извести с машины, с минимальными потерями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Для начала желательно выполнить все шаги, указанные здесь и потом приложить сюда логи. Но вполне возможно, что обойдемся и без логов.. думаю AVZ всё сделает на 5+

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Денис Лебедев спасибо за быстрый ответ.

Вечером все скачаю и устрою битву.

Правила прочитал, распечатал.

Меня смущает winlogon.exe, видно из за него касперский не смог удалить вирус.

После лечения AVZ система будет жива, надеюсь?

PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло. :twisted:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло.

Насчет этого конечно трудно сказать. Наврят ли "само". Скорее всего всё таки вы сами запустили. Сам по себе small - не очень приятная весч. Хрен его знает чо он там вам еще закачал на машину :) В общем, проверьтесь и приходите)) с логами. И будем вместе уже смотреть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Обнадежили :? :twisted:

Ок вечером проведу все операции, логи сохраню, и отпишусь сюда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

По предыдущему вопросу: да, сейчас заражение может и не требовать вашего участия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Ребят. проблему решил

В безопасном режиме удалил все темпы, там то и сидели злобные файлики.

Проверил и вебом и avz, причем avz почикал много исходных текстов программ (личных) которые принял за трояны.

Было удалено 5 троянов и 30 подозрительных файлов.

Такой вопрос:

То ли в связи с очисткой всех темпов и удаления всего лишнего, то ли это все же работа вируса, происходит следующее.

Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

PS Ни какой активности больше нет, все спокойно, после очистки сеть даже работать стала быстрее :)

Добавлено спустя 3 минуты 7 секунд:

PSS Обнаружил у Вас тут неполадочку, сообщаю.

1. Добавил + к репутации Денису Лебедеву

2. Попытался добавить NickGolovko

Получил сообщение, Вы не можете так часто влять на репутацию одного и того пользователя.

Возможно нужно убрать "одного пользователя" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

Выполните просьбу Дениса Лебедева про логи. Тогда сможем подсказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Скорее всего браузер все таки остался заражен, так как нашел много слухов про то, что вирус заражает IE и работает через него, отсылая много чего куда то на сервер.

Сегодня буду снова лечиться.

Причем заражение происходит, даже без участия пользователя, с зараженной машины похищаются фтп пароли если таковые есть, и через сервер злоумышленников заражаются все сайты, к которым были пароли в менеджере.

Странно как же боросться, если заражение происходит без моего участия.

Включать защиту AVZ?

Хватит ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Сказал, как и думалось, что инфицирован ie он удалил текущий и восстановил из какой то папки старый, который был чистый.

После ребута всплывающие окна не исчезли, что скорее всего обусловлено ключем в реестре,

Цитата
ldcore.dll

DrWeb - CureIT! - удалил порядка 3 файлов.

KAV - нашел еще больше, причем в старых файлах: иконках, картинках и т.д.

Провел сканирование AVZ и HijackThis.

LOG.rar

LOG.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:windowswc98pp.dll','');QuarantineFile('D:windowssystem32jpicpl32.cpl','');QuarantineFile('d:windowssystem32ldcore.dll','');QuarantineFile('??D:windowssystem32driversoreans32.sys','');QuarantineFile('SystemRootsystem32driverscore.sys','');DeleteFile('d:windowssystem32ldcore.dll');ExecuteSysClean;RebootWindows(true);end.

после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число на [email protected] и [email protected] в архиве с паролем, указав пароль в теле письма..

и ещё сюда можете этот архив с паролем положить

[/code]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

QuarantineFile - в карантин, который вы вышлите антивирусным аналитикам.

DeleteFile('d:windowssystem32ldcore.dll') - удалит явно зловредный файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

да кстати из вир.лаба потом ответ запостите..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "d:windowssystem32ldcore.dll"

и

d:windowssystem32ldcore.dll

Скрипт: Kарантин Удалить -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWAREMicrosoftWindows NTCurrentVersionWindows, AppInit_DLLs

А как же запись в реестре?

удалит явно зловредный файл.

Т.е. кроме этго файла все чисто на машине получается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
А как же запись в реестре?

ExecuteSysClean - почистит.

Т.е. кроме этго файла все чисто на машине получается?

Если антивирусные аналитики не скажут обратного, то - да, чисто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
ExecuteSysClean - почистит.

надеюсь навсякий случай в hijeckthis пофиксите

O20 - AppInit_DLLs:  d:windowssystem32ldcore.dll

то что у вас ещё там нехорошие файлы это почти точно, надо выяснить просто какие из тех что я закарантинел..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

надеюсь навсякий случай в hijeckthis пофиксите

пофиксил, не помогло

Окна все равно лезут, устрою еще пару проверок

Карантин оптраваил по обеим адресам

Ребят, что еще сделать?

PS Читал, что вирус калечит ослика, но поставил Opera - реже но окна всплывают

:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Пофиксите в hijackthis

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://bit.pirit.info/forum/index.phpO2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - D:windowssystem32msindeo.dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Щас попробую

PS Я обманул тут, 1 письмо на касперсого ушло, 2 бат не пропустил сервер, бат вернул ошибку что файл содержит вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Далее AVZ - Сервис - Менеджер автозапуска:

Автозапуск - Реестр - AppInit_DDLs

Удалите элемент d:windowssystem32ldcore.dll

P.S. Письма с вирусами отправляйте через web-интерфейс почтовой службы. Через smtp письма будут отбиваться почтовым сервером. Им вирусы не нужны. ;)

Добавлено спустя 13 минут 6 секунд:

Напоследок скачай свежий Dr.WEB CureIt!.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Dr.WEB CureIt! и AVZ качал вчера так что версии свежие.

2SuperBrat:

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - D:windowssystem32msindeo.dll

После удаления и ребута - пока ничего не появляется.

Т.е. возможно, что почистил.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

Вот это сделаю, дабы убедиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag
Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

DrWeb много что удалил, порядка 10 файлов, и все вне папки windows, хотя были 2-3 которые я не стал трогать именно из system32.

Вечером еще раз проведу проверку и отпишу что именно пишет Веб.

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

- Как и что сделать, чтобы проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×