Как лечить trojan-Downloader.Win32.Small.dxm

[SuperBrat 6]

DrWeb много что удалил, порядка 10 файлов, и все вне папки windows, хотя были 2-3 которые я не стал трогать именно из system32.

Вот как раз из system32 и надо было удалять. DrWeb полезные файлы не удаляет. Повторите со свежей версией (не поленитесь скачать) и удалите всех гадов.

Как и что сделать, чтобы проверить?

Перейдите в браузере по адресу: http://www.virustotal.com/en/virustotalf.html и проверьте там те файлы.

P.S. После проверки связкой AVZ+DrWeb сформируйте снова три лога по правилам. Проверим насколько стало чисто.

[smag 0]

Переписка:

avz00004.dta - Rootkit.Win32.Agent.eq

Этот файл определяется антивирусом. Обновите антивирусные базы.

Остальные файлы чистые.

Повторите со свежей версией (не поленитесь скачать) и удалите всех гадов.

Версию качал свежую, сегодня вечером снова буду устраивать проверку в связке AVZ+DrWeb и чикну этот core.sys если вылезет.

Я так понял удалить можно безболезненно, система не пострадает?

P.S. После проверки связкой AVZ+DrWeb сформируйте снова три лога по правилам. Проверим насколько стало чисто.

Если хватит сил сделаю.

[Ego1st 95]

давайте сделаем так вот эти 2 файла

SystemRootsystem32driverscore.sys

D:windowswc98pp.dll в архив и сюда положите..

SystemRootsystem32driverscore.sys - скорее всего этот руткит, но мне хотелось бы ещё wc98pp.dll посмотреть подозреваю что он не совсем хороший..

[smag 0]

Выложу 4 файла, архив сделан до лечения в связке и удаления msindeo.dll и ldcore.dll

[SuperBrat 6]

D:windowssystem32driversoreans32.sys

Riskware.Fileprotect.A

D:windowssystem32driverscore.sys

Win32/Rootkit.Agent.EQ trojan

D:windowswc98pp.dll

VirusTotal говорит "чисто", но поиск Гугля дает совет "удалить". У многих тормозит Интернет из-за него.

Выполните скрипт: AVZ - файл - выполнить скрипт. Копьютер после выполнения перезагрузится.

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('SystemRootsystem32driverscore.sys');DeleteFile('??D:windowssystem32driversoreans32.sys');DeleteFile('D:windowswc98pp.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

P.S. Файлы отосланы в антивирусные лаборатории. DrWeb их пока не знает, но тоже получил. Вечером, я думаю, можно качать свежую версию.

[Ego1st 95]

Боян получился =))

если вдруг что-то перестанет работать просто переустановите..

[smag 0]

Всем надовал плюсов!

Ребята, спасибо.

Запущу скрипт, надеюсь это будет финал, для вируса.

PS Получается я внес вклад в разработку веба, тем что предоставил новый вирус?

Добавлено спустя 51 секунду:

если вдруг что-то перестанет работать просто переустановите..

Это вы про винду?

[SuperBrat 6]

2007-04-12.rar

Архив можно удалять. Зловреды все-таки.

[Ego1st 95]

Это вы про винду?

нет боже упаси=)) мы же тут разбирались как раз для того что бы винду не переставлять..

программу переустановите которая небудет работать=))

[smag 0]

Архив можно удалять. Зловреды все-таки.

- Удалил

нет боже упаси

- Надеюсь ет не шутка

Мероприятия проведу, отпишу.

Когда можно ждать обовления DrWeb

[Ego1st 95]

вечером наверное..

[SuperBrat 6]

Это надо у форумчан из DrWeb уточнить. Как долго присланные образцы обрабатываются? Но вам, smag,

надо выполнить тот скрипт и DrWeb уже не понадобится (если только проверить для спокойствия души).

P.S. Avira рулит!

http://analysis.avira.com/samples/details....ncidentid=30302

Ego1st, не согласны там с нами.

[Ego1st 95]

ну я примерно так и думал, авира детектит только руткит..

ну не согласны и не согласны, лучше перестраховаться..))

[smag 0]

Проверка DrWeb:

1. Папка System Volume Information:

-Adware.Casino

-Tool.Prockill

2. Файл dwdsregt.exe (system32)

-Adware.ZenoSearch

3. Файл Process (system32)

-Tool.Prockill

Проверка Каспером:

НАшел 1 файл - архив, котрый я выкладывал в форум, сказал то же что и подержка Кспера, что боян, хотя до этого он его не находил.

ЗЫ Помоему я от них не избавлюсь, откуда их столько, почему сразу все не детектятся?

[SuperBrat 6]

Свежие логи по правилам сделайте, пожалуйста.

[smag 0]

После проверки новым DrWeb(Вчерашним) остались два файлика из system32, вышеуказанные.

ЗЫ Замучали они меня уже. :-(

Log.rar

Log.rar

[Ego1st 95]

отключите востановление системы, удалите файлы из корзины там мусора полно=)

невижу я там таких файлов, у вас версия avz какая?

[smag 0]

4.24 r4

Добавлено спустя 16 минут 49 секунд:

Еще раз проверил system32 DrWeb пишет:

dwdsregt.exe D:WINDOWSsystem32 Adware.ZenoSearch

process.exe D:WINDOWSsystem32 Tool.Prockill

Добавлено спустя 20 минут 53 секунды:

dwdsregt.exe - Изменен 10 апреля, может его чинуть просто и все дела?

[Ego1st 95]

а удалить сами пробовали?

[smag 0]

Нет, так как не хочу систему чикать.

Если скажете, что файл не нужен для системы, тогда почикаю.

[SuperBrat 6]

1. Отключить восстановление системы в Windows XP

2. Выполните в AVZ скрипт:

begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:windowswc98pp.dll');DeleteFile('D:WINDOWSsystem32dwdsregt.exe');DeleteFile('D:WINDOWSsystem32process.exe');BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.

[smag 0]

DrWeb тест провел, тишина.

Надеюсь это были последние, уффф

Спасибки ребят, очень помогли, сам бы не разобрался.

[SuperBrat 6]

DrWeb тест провел, тишина.

Надеюсь это были последние, уффф

Спасибки ребят, очень помогли, сам бы не разобрался.

Был рад помочь. Надеюсь, что далее мы будем общаться по более радостному поводу.

[smag 0]

:wink: Надеюсь :wink: