Перейти к содержанию
smag

Как лечить trojan-Downloader.Win32.Small.dxm

Recommended Posts

smag

Ребят, выручайте... :(

Приключилась беда.

trojan-Downloader.Win32.Small.dxm

Стоит каспер, базы свежие.

Захожу на сайт(при необходимости укажу)

Каспер начинает ругаться, я нажимаю удалить, все как всегда.

Но он кричит, что удалить не могу.

regcleaner чистю реестр - там две новых записи:

{e1-1c-c0-2n} system32dwdsregt.exe SKY001

userFaultChech %systemroot%system32dumprep 0-u

В диспечере появляются:

stdrun6.exe

dwdsregt.exe

Завершаются спокойно, без ругательств.

После перезагрузки, вылезли порядка 6 новых процессов.

Каспер ругается на winlogon.exeldcore.dll и на system32ldcore.dll

При попытке удалить ругается, что нельзя.

PS Все приключилось дома, а щас наработе, а сам понимаю, что нужно было чикать файлы ldcore.dll в безопасном режиме.

Ребят как эту нечисть извести с машины, с минимальными потерями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Для начала желательно выполнить все шаги, указанные здесь и потом приложить сюда логи. Но вполне возможно, что обойдемся и без логов.. думаю AVZ всё сделает на 5+

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Денис Лебедев спасибо за быстрый ответ.

Вечером все скачаю и устрою битву.

Правила прочитал, распечатал.

Меня смущает winlogon.exe, видно из за него касперский не смог удалить вирус.

После лечения AVZ система будет жива, надеюсь?

PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло. :twisted:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло.

Насчет этого конечно трудно сказать. Наврят ли "само". Скорее всего всё таки вы сами запустили. Сам по себе small - не очень приятная весч. Хрен его знает чо он там вам еще закачал на машину :) В общем, проверьтесь и приходите)) с логами. И будем вместе уже смотреть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Обнадежили :? :twisted:

Ок вечером проведу все операции, логи сохраню, и отпишусь сюда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

По предыдущему вопросу: да, сейчас заражение может и не требовать вашего участия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Ребят. проблему решил

В безопасном режиме удалил все темпы, там то и сидели злобные файлики.

Проверил и вебом и avz, причем avz почикал много исходных текстов программ (личных) которые принял за трояны.

Было удалено 5 троянов и 30 подозрительных файлов.

Такой вопрос:

То ли в связи с очисткой всех темпов и удаления всего лишнего, то ли это все же работа вируса, происходит следующее.

Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

PS Ни какой активности больше нет, все спокойно, после очистки сеть даже работать стала быстрее :)

Добавлено спустя 3 минуты 7 секунд:

PSS Обнаружил у Вас тут неполадочку, сообщаю.

1. Добавил + к репутации Денису Лебедеву

2. Попытался добавить NickGolovko

Получил сообщение, Вы не можете так часто влять на репутацию одного и того пользователя.

Возможно нужно убрать "одного пользователя" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

Выполните просьбу Дениса Лебедева про логи. Тогда сможем подсказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Скорее всего браузер все таки остался заражен, так как нашел много слухов про то, что вирус заражает IE и работает через него, отсылая много чего куда то на сервер.

Сегодня буду снова лечиться.

Причем заражение происходит, даже без участия пользователя, с зараженной машины похищаются фтп пароли если таковые есть, и через сервер злоумышленников заражаются все сайты, к которым были пароли в менеджере.

Странно как же боросться, если заражение происходит без моего участия.

Включать защиту AVZ?

Хватит ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Сказал, как и думалось, что инфицирован ie он удалил текущий и восстановил из какой то папки старый, который был чистый.

После ребута всплывающие окна не исчезли, что скорее всего обусловлено ключем в реестре,

Цитата
ldcore.dll

DrWeb - CureIT! - удалил порядка 3 файлов.

KAV - нашел еще больше, причем в старых файлах: иконках, картинках и т.д.

Провел сканирование AVZ и HijackThis.

LOG.rar

LOG.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:windowswc98pp.dll','');QuarantineFile('D:windowssystem32jpicpl32.cpl','');QuarantineFile('d:windowssystem32ldcore.dll','');QuarantineFile('??D:windowssystem32driversoreans32.sys','');QuarantineFile('SystemRootsystem32driverscore.sys','');DeleteFile('d:windowssystem32ldcore.dll');ExecuteSysClean;RebootWindows(true);end.

после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число на newvirus@kaspersky.com и newvirus@z-oleg.com в архиве с паролем, указав пароль в теле письма..

и ещё сюда можете этот архив с паролем положить

[/code]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

QuarantineFile - в карантин, который вы вышлите антивирусным аналитикам.

DeleteFile('d:windowssystem32ldcore.dll') - удалит явно зловредный файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

да кстати из вир.лаба потом ответ запостите..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "d:windowssystem32ldcore.dll"

и

d:windowssystem32ldcore.dll

Скрипт: Kарантин Удалить -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWAREMicrosoftWindows NTCurrentVersionWindows, AppInit_DLLs

А как же запись в реестре?

удалит явно зловредный файл.

Т.е. кроме этго файла все чисто на машине получается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
А как же запись в реестре?

ExecuteSysClean - почистит.

Т.е. кроме этго файла все чисто на машине получается?

Если антивирусные аналитики не скажут обратного, то - да, чисто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
ExecuteSysClean - почистит.

надеюсь навсякий случай в hijeckthis пофиксите

O20 - AppInit_DLLs:  d:windowssystem32ldcore.dll

то что у вас ещё там нехорошие файлы это почти точно, надо выяснить просто какие из тех что я закарантинел..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

надеюсь навсякий случай в hijeckthis пофиксите

пофиксил, не помогло

Окна все равно лезут, устрою еще пару проверок

Карантин оптраваил по обеим адресам

Ребят, что еще сделать?

PS Читал, что вирус калечит ослика, но поставил Opera - реже но окна всплывают

:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Пофиксите в hijackthis

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://bit.pirit.info/forum/index.phpO2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - D:windowssystem32msindeo.dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Щас попробую

PS Я обманул тут, 1 письмо на касперсого ушло, 2 бат не пропустил сервер, бат вернул ошибку что файл содержит вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Далее AVZ - Сервис - Менеджер автозапуска:

Автозапуск - Реестр - AppInit_DDLs

Удалите элемент d:windowssystem32ldcore.dll

P.S. Письма с вирусами отправляйте через web-интерфейс почтовой службы. Через smtp письма будут отбиваться почтовым сервером. Им вирусы не нужны. ;)

Добавлено спустя 13 минут 6 секунд:

Напоследок скачай свежий Dr.WEB CureIt!.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Dr.WEB CureIt! и AVZ качал вчера так что версии свежие.

2SuperBrat:

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - D:windowssystem32msindeo.dll

После удаления и ребута - пока ничего не появляется.

Т.е. возможно, что почистил.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

Вот это сделаю, дабы убедиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag
Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

DrWeb много что удалил, порядка 10 файлов, и все вне папки windows, хотя были 2-3 которые я не стал трогать именно из system32.

Вечером еще раз проведу проверку и отпишу что именно пишет Веб.

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

- Как и что сделать, чтобы проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×