smag

Как лечить trojan-Downloader.Win32.Small.dxm

В этой теме 49 сообщений

Ребят, выручайте... :(

Приключилась беда.

trojan-Downloader.Win32.Small.dxm

Стоит каспер, базы свежие.

Захожу на сайт(при необходимости укажу)

Каспер начинает ругаться, я нажимаю удалить, все как всегда.

Но он кричит, что удалить не могу.

regcleaner чистю реестр - там две новых записи:

{e1-1c-c0-2n} system32dwdsregt.exe SKY001

userFaultChech %systemroot%system32dumprep 0-u

В диспечере появляются:

stdrun6.exe

dwdsregt.exe

Завершаются спокойно, без ругательств.

После перезагрузки, вылезли порядка 6 новых процессов.

Каспер ругается на winlogon.exeldcore.dll и на system32ldcore.dll

При попытке удалить ругается, что нельзя.

PS Все приключилось дома, а щас наработе, а сам понимаю, что нужно было чикать файлы ldcore.dll в безопасном режиме.

Ребят как эту нечисть извести с машины, с минимальными потерями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для начала желательно выполнить все шаги, указанные здесь и потом приложить сюда логи. Но вполне возможно, что обойдемся и без логов.. думаю AVZ всё сделает на 5+

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев спасибо за быстрый ответ.

Вечером все скачаю и устрою битву.

Правила прочитал, распечатал.

Меня смущает winlogon.exe, видно из за него касперский не смог удалить вирус.

После лечения AVZ система будет жива, надеюсь?

PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло. :twisted:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло.

Насчет этого конечно трудно сказать. Наврят ли "само". Скорее всего всё таки вы сами запустили. Сам по себе small - не очень приятная весч. Хрен его знает чо он там вам еще закачал на машину :) В общем, проверьтесь и приходите)) с логами. И будем вместе уже смотреть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обнадежили :? :twisted:

Ок вечером проведу все операции, логи сохраню, и отпишусь сюда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По предыдущему вопросу: да, сейчас заражение может и не требовать вашего участия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят. проблему решил

В безопасном режиме удалил все темпы, там то и сидели злобные файлики.

Проверил и вебом и avz, причем avz почикал много исходных текстов программ (личных) которые принял за трояны.

Было удалено 5 троянов и 30 подозрительных файлов.

Такой вопрос:

То ли в связи с очисткой всех темпов и удаления всего лишнего, то ли это все же работа вируса, происходит следующее.

Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

PS Ни какой активности больше нет, все спокойно, после очистки сеть даже работать стала быстрее :)

Добавлено спустя 3 минуты 7 секунд:

PSS Обнаружил у Вас тут неполадочку, сообщаю.

1. Добавил + к репутации Денису Лебедеву

2. Попытался добавить NickGolovko

Получил сообщение, Вы не можете так часто влять на репутацию одного и того пользователя.

Возможно нужно убрать "одного пользователя" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

Выполните просьбу Дениса Лебедева про логи. Тогда сможем подсказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скорее всего браузер все таки остался заражен, так как нашел много слухов про то, что вирус заражает IE и работает через него, отсылая много чего куда то на сервер.

Сегодня буду снова лечиться.

Причем заражение происходит, даже без участия пользователя, с зараженной машины похищаются фтп пароли если таковые есть, и через сервер злоумышленников заражаются все сайты, к которым были пароли в менеджере.

Странно как же боросться, если заражение происходит без моего участия.

Включать защиту AVZ?

Хватит ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сказал, как и думалось, что инфицирован ie он удалил текущий и восстановил из какой то папки старый, который был чистый.

После ребута всплывающие окна не исчезли, что скорее всего обусловлено ключем в реестре,

Цитата
ldcore.dll

DrWeb - CureIT! - удалил порядка 3 файлов.

KAV - нашел еще больше, причем в старых файлах: иконках, картинках и т.д.

Провел сканирование AVZ и HijackThis.

LOG.rar

LOG.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:windowswc98pp.dll','');QuarantineFile('D:windowssystem32jpicpl32.cpl','');QuarantineFile('d:windowssystem32ldcore.dll','');QuarantineFile('??D:windowssystem32driversoreans32.sys','');QuarantineFile('SystemRootsystem32driverscore.sys','');DeleteFile('d:windowssystem32ldcore.dll');ExecuteSysClean;RebootWindows(true);end.

после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число на [email protected] и [email protected] в архиве с паролем, указав пароль в теле письма..

и ещё сюда можете этот архив с паролем положить

[/code]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

QuarantineFile - в карантин, который вы вышлите антивирусным аналитикам.

DeleteFile('d:windowssystem32ldcore.dll') - удалит явно зловредный файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да кстати из вир.лаба потом ответ запостите..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "d:windowssystem32ldcore.dll"

и

d:windowssystem32ldcore.dll

Скрипт: Kарантин Удалить -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWAREMicrosoftWindows NTCurrentVersionWindows, AppInit_DLLs

А как же запись в реестре?

удалит явно зловредный файл.

Т.е. кроме этго файла все чисто на машине получается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как же запись в реестре?

ExecuteSysClean - почистит.

Т.е. кроме этго файла все чисто на машине получается?

Если антивирусные аналитики не скажут обратного, то - да, чисто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ExecuteSysClean - почистит.

надеюсь навсякий случай в hijeckthis пофиксите

O20 - AppInit_DLLs:  d:windowssystem32ldcore.dll

то что у вас ещё там нехорошие файлы это почти точно, надо выяснить просто какие из тех что я закарантинел..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

надеюсь навсякий случай в hijeckthis пофиксите

пофиксил, не помогло

Окна все равно лезут, устрою еще пару проверок

Карантин оптраваил по обеим адресам

Ребят, что еще сделать?

PS Читал, что вирус калечит ослика, но поставил Opera - реже но окна всплывают

:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Щас попробую

PS Я обманул тут, 1 письмо на касперсого ушло, 2 бат не пропустил сервер, бат вернул ошибку что файл содержит вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Далее AVZ - Сервис - Менеджер автозапуска:

Автозапуск - Реестр - AppInit_DDLs

Удалите элемент d:windowssystem32ldcore.dll

P.S. Письма с вирусами отправляйте через web-интерфейс почтовой службы. Через smtp письма будут отбиваться почтовым сервером. Им вирусы не нужны. ;)

Добавлено спустя 13 минут 6 секунд:

Напоследок скачай свежий Dr.WEB CureIt!.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dr.WEB CureIt! и AVZ качал вчера так что версии свежие.

2SuperBrat:

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - D:windowssystem32msindeo.dll

После удаления и ребута - пока ничего не появляется.

Т.е. возможно, что почистил.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

Вот это сделаю, дабы убедиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

DrWeb много что удалил, порядка 10 файлов, и все вне папки windows, хотя были 2-3 которые я не стал трогать именно из system32.

Вечером еще раз проведу проверку и отпишу что именно пишет Веб.

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

- Как и что сделать, чтобы проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS