Как лечить trojan-Downloader.Win32.Small.dxm

[smag 0]

Ребят, выручайте...

Приключилась беда.

trojan-Downloader.Win32.Small.dxm

Стоит каспер, базы свежие.

Захожу на сайт(при необходимости укажу)

Каспер начинает ругаться, я нажимаю удалить, все как всегда.

Но он кричит, что удалить не могу.

regcleaner чистю реестр - там две новых записи:

{e1-1c-c0-2n} system32dwdsregt.exe SKY001

userFaultChech %systemroot%system32dumprep 0-u

В диспечере появляются:

stdrun6.exe

dwdsregt.exe

Завершаются спокойно, без ругательств.

После перезагрузки, вылезли порядка 6 новых процессов.

Каспер ругается на winlogon.exeldcore.dll и на system32ldcore.dll

При попытке удалить ругается, что нельзя.

PS Все приключилось дома, а щас наработе, а сам понимаю, что нужно было чикать файлы ldcore.dll в безопасном режиме.

Ребят как эту нечисть извести с машины, с минимальными потерями?

[Денис Лебедев 20]

Для начала желательно выполнить все шаги, указанные здесь и потом приложить сюда логи. Но вполне возможно, что обойдемся и без логов.. думаю AVZ всё сделает на 5+

[smag 0]

Денис Лебедев спасибо за быстрый ответ.

Вечером все скачаю и устрою битву.

Правила прочитал, распечатал.

Меня смущает winlogon.exe, видно из за него касперский не смог удалить вирус.

После лечения AVZ система будет жива, надеюсь?

PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло. :twisted:

[Денис Лебедев 20]

PS Так у нас теперь вирусы и скрипты отрабатываются даже без участия пользователя? Т.е. я даже не запускал файлы, а заражение произошло.

Насчет этого конечно трудно сказать. Наврят ли "само". Скорее всего всё таки вы сами запустили. Сам по себе small - не очень приятная весч. Хрен его знает чо он там вам еще закачал на машину В общем, проверьтесь и приходите)) с логами. И будем вместе уже смотреть...

[smag 0]

Обнадежили :? :twisted:

Ок вечером проведу все операции, логи сохраню, и отпишусь сюда

[Николай Головко 70]

По предыдущему вопросу: да, сейчас заражение может и не требовать вашего участия.

[smag 0]

Ребят. проблему решил

В безопасном режиме удалил все темпы, там то и сидели злобные файлики.

Проверил и вебом и avz, причем avz почикал много исходных текстов программ (личных) которые принял за трояны.

Было удалено 5 троянов и 30 подозрительных файлов.

Такой вопрос:

То ли в связи с очисткой всех темпов и удаления всего лишнего, то ли это все же работа вируса, происходит следующее.

Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

PS Ни какой активности больше нет, все спокойно, после очистки сеть даже работать стала быстрее

Добавлено спустя 3 минуты 7 секунд:

PSS Обнаружил у Вас тут неполадочку, сообщаю.

1. Добавил + к репутации Денису Лебедеву

2. Попытался добавить NickGolovko

Получил сообщение, Вы не можете так часто влять на репутацию одного и того пользователя.

Возможно нужно убрать "одного пользователя"

[SuperBrat 6]

Иногда выскакивает всплывающее окно (пользуюсь MyIE) со строкой поиска, в текстовом поле обычно то, что находиться в буфере.

Не могу понять, браузер это или вирус?

Выполните просьбу Дениса Лебедева про логи. Тогда сможем подсказать.

[smag 0]

Скорее всего браузер все таки остался заражен, так как нашел много слухов про то, что вирус заражает IE и работает через него, отсылая много чего куда то на сервер.

Сегодня буду снова лечиться.

Причем заражение происходит, даже без участия пользователя, с зараженной машины похищаются фтп пароли если таковые есть, и через сервер злоумышленников заражаются все сайты, к которым были пароли в менеджере.

Странно как же боросться, если заражение происходит без моего участия.

Включать защиту AVZ?

Хватит ли?

[smag 0]

Сказал, как и думалось, что инфицирован ie он удалил текущий и восстановил из какой то папки старый, который был чистый.

После ребута всплывающие окна не исчезли, что скорее всего обусловлено ключем в реестре,

Цитата

ldcore.dll

DrWeb - CureIT! - удалил порядка 3 файлов.

KAV - нашел еще больше, причем в старых файлах: иконках, картинках и т.д.

Провел сканирование AVZ и HijackThis.

LOG.rar

LOG.rar

[Ego1st 95]

выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:windowswc98pp.dll','');QuarantineFile('D:windowssystem32jpicpl32.cpl','');QuarantineFile('d:windowssystem32ldcore.dll','');QuarantineFile('??D:windowssystem32driversoreans32.sys','');QuarantineFile('SystemRootsystem32driverscore.sys','');DeleteFile('d:windowssystem32ldcore.dll');ExecuteSysClean;RebootWindows(true);end.

после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число на newvirus@kaspersky.com и newvirus@z-oleg.com в архиве с паролем, указав пароль в теле письма..

и ещё сюда можете этот архив с паролем положить

[/code]

[smag 0]

Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

[SuperBrat 6]

Это что сделает скрипт, просто скопирует файлы и Вам преслать их, либо DeleteFile - удалит зараженный?

Больше ни чего не расскажете?

Что и как у меня твориться?

QuarantineFile - в карантин, который вы вышлите антивирусным аналитикам.

DeleteFile('d:windowssystem32ldcore.dll') - удалит явно зловредный файл.

[Ego1st 95]

да кстати из вир.лаба потом ответ запостите..

[smag 0]

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "d:windowssystem32ldcore.dll"

и

d:windowssystem32ldcore.dll

Скрипт: Kарантин Удалить -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWAREMicrosoftWindows NTCurrentVersionWindows, AppInit_DLLs

А как же запись в реестре?

удалит явно зловредный файл.

Т.е. кроме этго файла все чисто на машине получается?

[SuperBrat 6]

А как же запись в реестре?

ExecuteSysClean - почистит.

Т.е. кроме этго файла все чисто на машине получается?

Если антивирусные аналитики не скажут обратного, то - да, чисто.

[Ego1st 95]

ExecuteSysClean - почистит.

надеюсь навсякий случай в hijeckthis пофиксите

O20 - AppInit_DLLs:  d:windowssystem32ldcore.dll

то что у вас ещё там нехорошие файлы это почти точно, надо выяснить просто какие из тех что я закарантинел..

[smag 0]

надеюсь навсякий случай в hijeckthis пофиксите

пофиксил, не помогло

Окна все равно лезут, устрою еще пару проверок

Карантин оптраваил по обеим адресам

Ребят, что еще сделать?

PS Читал, что вирус калечит ослика, но поставил Opera - реже но окна всплывают

[SuperBrat 6]

Пофиксите в hijackthis

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://bit.pirit.info/forum/index.phpO2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - D:windowssystem32msindeo.dll

[smag 0]

Щас попробую

PS Я обманул тут, 1 письмо на касперсого ушло, 2 бат не пропустил сервер, бат вернул ошибку что файл содержит вирус

[SuperBrat 6]

Далее AVZ - Сервис - Менеджер автозапуска:

Автозапуск - Реестр - AppInit_DDLs

Удалите элемент d:windowssystem32ldcore.dll

P.S. Письма с вирусами отправляйте через web-интерфейс почтовой службы. Через smtp письма будут отбиваться почтовым сервером. Им вирусы не нужны.

Добавлено спустя 13 минут 6 секунд:

Напоследок скачай свежий Dr.WEB CureIt!.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

[smag 0]

Dr.WEB CureIt! и AVZ качал вчера так что версии свежие.

2SuperBrat:

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - D:windowssystem32msindeo.dll

После удаления и ребута - пока ничего не появляется.

Т.е. возможно, что почистил.

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

Вот это сделаю, дабы убедиться.

[Ego1st 95]

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

[smag 0]

Твои действия:

1. Закрыть все программы, кроме AVZ (проверь версию, должна быть 4.24 r4).

2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать).

3. Активировать AVZ Guard.

4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер Dr.WEB CureIt!.

DrWeb много что удалил, порядка 10 файлов, и все вне папки windows, хотя были 2-3 которые я не стал трогать именно из system32.

Вечером еще раз проведу проверку и отпишу что именно пишет Веб.

я бы не расслаблялся, а проверл вот этот файл на virustotale

D:windowswc98pp.dll

и драйверочек

SystemRootsystem32driverscore.sys в первую очередь..

- Как и что сделать, чтобы проверить?

[Ego1st 95]

отправить файлы на http://www.virustotal.com/en/indexf.html