Доктор веб как вылечить от трояна

pnets

Newbie

• 

• Posters
• 9 Сообщений:

Здравствуйте! Нужна помощь по лечению от нового трояна Trojan.Tofsee.

Как попал на компьютер неизвестно.

Сканер обнаруживает в памяти svchost.exe:3960, Угроз обнаружено 11, Угроз обезврежено 1.

После перезагрузки и повторного сканирования, тоже самое с другим номером.

При попытке проверить отдельный файл через правую клавишу в проводнике сканер не запускается.

При запуске свежего CureIt! Выдается сообщение «Отказано в доступе к указанному устройству, пути или файлу. Возможно у вас нет прав доступа к этому объекту»,

При запуске  CureIt!  в защищенном режиме Угроз не обнаружено.

Из перечисленных загружаемых модулей ничего не обнаружено.

Есть только файл из описания — <SYSTEM32>secupdat.dat

логи не прицепляются — Ошибка ИО, куда можно их отправить?

Dr.Robot

Poster

• 

• Helpers
• 2 705 Сообщений:

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
— собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.

4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
• В появившемся окне наберите cmd и нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>»%userprofile%ipc.log» и нажмите клавишу , затем наберите там же команду explorer.exe /select,»%userprofile%ipc.log» и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

pnets

Newbie

• 

• Posters
• 9 Сообщений:

 DrWeb SysInfo. тоже не запускается

лог сканера
 230614_221020.zip   4,63Мб
  4 Скачано раз

и хайджек 
 hijackthis.zip   5,14К
  8 Скачано раз

Сообщение было изменено pnets: 24 Июнь 2014 — 05:24

AndreyKa

Advanced Member

• 

• Posters
• 714 Сообщений:

Пофиксите в HijackThis строки:

O4 — HKLM..Run: [Domru] «C:Documents and SettingsАдминистраторLocal SettingsApps2.0B5LZGOH7.HEKB090EGGZ.DX4domr..tion_2edef5e10e1944ec_0000.0000_cea579f3bd0306adDomru.exe» /auto
O4 — HKCU..Run: [MSConfig] «C:Documents and SettingsАдминистраторimdhjque.exe» (filesize 51003392 bytes, MD5 2A4F80C2E74276F2F1F29A194D48A276)
O4 — HKCU..Run: [agentIdentities] «C:Documents and SettingsАдминистраторApplication DataIdentitiesagentIdentities.exe» (filesize 110592 bytes, MD5 E0672EBD586533A993D9D9AA924291E4)
O4 — HKLM..PoliciesExplorerRun: [5109] C:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scrC:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scr

Файлы «C:Documents and SettingsАдминистраторApplication DataIdentitiesagentIdentities.exe» и «C:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scr» отправьте тут — https://vms.drweb.com/sendvirus/

Запакуйте в архив файл «C:Documents and SettingsАдминистраторimdhjque.exe» Какой размер получился?

Ivan Korolev

Advanced Member

• 

• Virus Analysts

• 

• 935 Сообщений:

C:Documents and SettingsАдминистраторApplication DataIdentitiesagentIdentities.exe — Trojan.Packed.27884

C:Documents and SettingsАдминистраторimdhjque.exe
C:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scrC:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scr

Как пришлете в вирлаб, напишите тут номер тикета.

pnets

Newbie

• 

• Posters
• 9 Сообщений:

Пофиксил, удалил указанные файлы, перезагрузил..

при загрузке заметил в панели задач промелькнуло окно с непереводимым названием, запустил сканер — тот же троян в памяти..

снова хайджек — по тем же путям файлы с другими именами..

перезапустился в защищенном режиме, удалил файлы, почистил реестр в ExplorerRun

запустился нормально, окно не мелькало, сканер и CureIt! запускаются — Угроз не обнаружено

Спасибо за помощь!

файлы отправил, но тикеты не пришли

pnets

Newbie

• 

• Posters
• 9 Сообщений:

Trojan.Packed.27884

а что за троян? что делает? не нашел описания и почему сканер его как Trojan.Tofsee определяет?

fetch

Member

• 

• Posters
• 324 Сообщений:

Trojan.Packed.27884

а что за троян? что делает? не нашел описания и почему сканер его как Trojan.Tofsee определяет?

Предполагаю, что Tofsee сканер ловит в памяти, а образ этого файла на диске должен определяться как Trojan.Packed.

Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.

pnets

Newbie

• 

• Posters
• 9 Сообщений:

Ответ техподдержки

Файл agentIdentities.exe оказался новой вредоносной программой, которая добавлена в наши базы как Trojan.Inject1.43482

VVS

The Master

• 

• Moderators
• 17 516 Сообщений:

Ответ техподдержки

Файл agentIdentities.exe оказался новой вредоносной программой, которая добавлена в наши базы как Trojan.Inject1.43482

Судя по названию трояна и по тому, что он не был выловлен, у Вас установлена не 9-я версия DrWeb?

—
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы…… © alehas777

pnets

Newbie

• 

• Posters
• 9 Сообщений:

да еще 8ая, а 9ая ловит всех?

VVS

The Master

• 

• Moderators
• 17 516 Сообщений:

да еще 8ая, а 9ая ловит всех?

Инжектеров и энкодеров ловит по поведению.

—
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы…… © alehas777

Ольгерд

Newbie

• 

• Posters
• 36 Сообщений:

да еще 8ая, а 9ая ловит всех?

Инжектеров и энкодеров ловит по поведению.

Извините, а что такое инжектер?

VVS

The Master

• 

• Moderators
• 17 516 Сообщений:

да еще 8ая, а 9ая ловит всех?

Инжектеров и энкодеров ловит по поведению.

Извините, а что такое инжектер?

Внедряется в память запущенного процесса.

—
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы…… © alehas777

VVS

The Master

• 

• Moderators
• 17 516 Сообщений:

StraNiX, номера тикетов на форуме публиковать нельзя.

—
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы…… © alehas777

StraNiX

Newbie

• 

• Posters
• 72 Сообщений:

Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.

номера тикетов на форуме публиковать нельзя.

Как Вас понимать?

StraNiX

Newbie

• 

• Posters
• 72 Сообщений:

Сообщение было изменено StraNiX: 26 Июнь 2014 — 21:48

pig

Бредогенератор

• 

• Helpers
• 10 689 Сообщений:

Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.

 
 

номера тикетов на форуме публиковать нельзя.

Как Вас понимать?

Впрямую — по отношению к тикетам техподдержки.

Почтовый сервер Eserv тоже работает с Dr.Web

StraNiX

Newbie

• 

• Posters
• 72 Сообщений:

Впрямую — по отношению к тикетам техподдержки.

Всё равно не понял

VVS

The Master

• 

• Moderators
• 17 516 Сообщений:

Тикеты вирлаба на форуме публиковать можно.

Тикеты техподдержки на форуме публиковать нельзя.

—
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы…… © alehas777