Перейти к содержанию
smag

Как лечить trojan-Downloader.Win32.Small.dxm

Recommended Posts

SuperBrat
DrWeb много что удалил, порядка 10 файлов, и все вне папки windows, хотя были 2-3 которые я не стал трогать именно из system32.

Вот как раз из system32 и надо было удалять. DrWeb полезные файлы не удаляет. Повторите со свежей версией (не поленитесь скачать) и удалите всех гадов.

Как и что сделать, чтобы проверить?

Перейдите в браузере по адресу: http://www.virustotal.com/en/virustotalf.html и проверьте там те файлы.

P.S. После проверки связкой AVZ+DrWeb сформируйте снова три лога по правилам. Проверим насколько стало чисто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Переписка:

avz00004.dta - Rootkit.Win32.Agent.eq

Этот файл определяется антивирусом. Обновите антивирусные базы.

Остальные файлы чистые.

Повторите со свежей версией (не поленитесь скачать) и удалите всех гадов.

Версию качал свежую, сегодня вечером снова буду устраивать проверку в связке AVZ+DrWeb и чикну этот core.sys если вылезет.

Я так понял удалить можно безболезненно, система не пострадает?

P.S. После проверки связкой AVZ+DrWeb сформируйте снова три лога по правилам. Проверим насколько стало чисто.

Если хватит сил сделаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

давайте сделаем так вот эти 2 файла

SystemRootsystem32driverscore.sys

D:windowswc98pp.dll в архив и сюда положите..

SystemRootsystem32driverscore.sys - скорее всего этот руткит, но мне хотелось бы ещё wc98pp.dll посмотреть подозреваю что он не совсем хороший..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Выложу 4 файла, архив сделан до лечения в связке и удаления msindeo.dll и ldcore.dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

D:windowssystem32driversoreans32.sys

Riskware.Fileprotect.A

D:windowssystem32driverscore.sys

Win32/Rootkit.Agent.EQ trojan

D:windowswc98pp.dll

VirusTotal говорит "чисто", но поиск Гугля дает совет "удалить". У многих тормозит Интернет из-за него.

Выполните скрипт: AVZ - файл - выполнить скрипт. Копьютер после выполнения перезагрузится.

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('SystemRootsystem32driverscore.sys');DeleteFile('??D:windowssystem32driversoreans32.sys');DeleteFile('D:windowswc98pp.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

P.S. Файлы отосланы в антивирусные лаборатории. DrWeb их пока не знает, но тоже получил. Вечером, я думаю, можно качать свежую версию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Боян получился =))

если вдруг что-то перестанет работать просто переустановите..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Всем надовал плюсов!

Ребята, спасибо.

Запущу скрипт, надеюсь это будет финал, для вируса.

PS Получается я внес вклад в разработку веба, тем что предоставил новый вирус?

Добавлено спустя 51 секунду:

если вдруг что-то перестанет работать просто переустановите..

Это вы про винду?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
2007-04-12.rar

Архив можно удалять. Зловреды все-таки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Это вы про винду?

нет боже упаси=)) мы же тут разбирались как раз для того что бы винду не переставлять..

программу переустановите которая небудет работать=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Архив можно удалять. Зловреды все-таки.

- Удалил

нет боже упаси

- Надеюсь ет не шутка

Мероприятия проведу, отпишу.

Когда можно ждать обовления DrWeb

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

вечером наверное..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Это надо у форумчан из DrWeb уточнить. Как долго присланные образцы обрабатываются? Но вам, smag,

надо выполнить тот скрипт и DrWeb уже не понадобится (если только проверить для спокойствия души).

P.S. Avira рулит!

http://analysis.avira.com/samples/details....ncidentid=30302

Ego1st, не согласны там с нами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну я примерно так и думал, авира детектит только руткит..

ну не согласны и не согласны, лучше перестраховаться..))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Проверка DrWeb:

1. Папка System Volume Information:

-Adware.Casino

-Tool.Prockill

2. Файл dwdsregt.exe (system32)

-Adware.ZenoSearch

3. Файл Process (system32)

-Tool.Prockill

Проверка Каспером:

НАшел 1 файл - архив, котрый я выкладывал в форум, сказал то же что и подержка Кспера, что боян, хотя до этого он его не находил.

ЗЫ Помоему я от них не избавлюсь, откуда их столько, почему сразу все не детектятся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

После проверки новым DrWeb(Вчерашним) остались два файлика из system32, вышеуказанные.

ЗЫ Замучали они меня уже. :-(

Log.rar

Log.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

отключите востановление системы, удалите файлы из корзины там мусора полно=)

невижу я там таких файлов, у вас версия avz какая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

4.24 r4

Добавлено спустя 16 минут 49 секунд:

Еще раз проверил system32 DrWeb пишет:

dwdsregt.exe D:WINDOWSsystem32 Adware.ZenoSearch

process.exe D:WINDOWSsystem32 Tool.Prockill

Добавлено спустя 20 минут 53 секунды:

dwdsregt.exe - Изменен 10 апреля, может его чинуть просто и все дела?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а удалить сами пробовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

Нет, так как не хочу систему чикать.

Если скажете, что файл не нужен для системы, тогда почикаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

1. Отключить восстановление системы в Windows XP

2. Выполните в AVZ скрипт:

begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:windowswc98pp.dll');DeleteFile('D:WINDOWSsystem32dwdsregt.exe');DeleteFile('D:WINDOWSsystem32process.exe');BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

DrWeb тест провел, тишина.

Надеюсь это были последние, уффф

Спасибки ребят, очень помогли, сам бы не разобрался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
DrWeb тест провел, тишина.

Надеюсь это были последние, уффф

Спасибки ребят, очень помогли, сам бы не разобрался.

Был рад помочь. Надеюсь, что далее мы будем общаться по более радостному поводу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smag

:wink: Надеюсь :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
    • PR55.RP55
      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
    • PR55.RP55
      Предлагаю добавлять в лог - информацию по пользователям типа: Account: (Hidden) User 'John' is invisible on logon screen Account: (RDP Group) User 'John' is a member of Remote desktop group и т.д.      
    • demkd
      ---------------------------------------------------------
       4.15.3
      ---------------------------------------------------------
       o Добавлен новый модуль uvsv для систем не младше Vista.
         Признаком его работы является номер версии uVS c буквой v на конце: 4.15.3v.
         Модуль позволяет получить более четкие шрифты при активном масштабировании.
         На системах младше Vista будет работать обычная версия 4.15.3.

       o Выбранный шрифт теперь применяется и к меню.

       o Добавлена подстройка размеров списка под размер шрифта в окне активности процессов.
         Улучшена функция сортировки процессов по загрузке GPU.

       o Добавлена подстройка размеров списка под размер шрифта в окне удаления программ.

       o Добавлена подстройка размеров списка под размер шрифта в окне списка сохраненных компьютеров.

       o На основе полученных дамп-файлов выявлены и исправлены ошибки:
         o Исправлена критическая ошибка в файле английской локализации (файл lclz).
         o Исправлена потенциальная критическая ошибка при попытке загрузки поврежденного файла сигнатур.
       
×