Dloader trojan что это
Trojan-Downloader
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Публикации на схожие темы
Стриминговые войны продолжаются: что насчет киберугроз?
Шпионские инструменты FinSpy: новые находки
Технический анализ QakBot
Поиск
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
DLOADER.Trojan (заявка № 49289)
Опции темы
Уезжаю завтра в командировку, взял в конторе «разъездной» ноутбук. На нем оказались вирусы. Впервые не смог вычистить комп с помощью одного AVZ.
1\Temp\Rar$EX00.682\Christ mas.exe
хотя с точки зрения Far этот каталог пуст.
Буду крайне признателен за рекомендации.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49289).
Сделайте новые логи.
Отослал карантин 090704_171627_virus_4a4f562bcc7dd.zip
Прикладываю новые логи
Gmer также не запустился под своим именем. Пришлось переименовать его в 456.pif
В конце сканирования было выдано сообщение
WARNING.
GMER has found system modification caused by ROOTKIT activity
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы «Прислать запрошенный карантин»
2.Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (точнее 456.pif)
И запустите cleanup.bat. Компьютер перезагрузится. После перезагрузки повторите лог GMER и AVZ
Карантин послал
090704_205223_virus_4a4f88c7e57c2.zip
Сейчас запущу сканирование
Скачал из Интернета WinXP PE образ, сделал загрузочный диск и загрузился с него на ноутбуке.
Удалось запустить AVPTool, предварительно установленный на флешку. При сканировании диска С: был найден и удален один файл:
deleted: virus Worm.Win32.Viking.hk File: C:\Documents and Settings\All Users\Документы\mhgpec.exe
К сожалению AVZ 4.30 не заработал под WinXP PE. При попытке запустить сканирование он выдал ошибку записи в ListBox и остановился. На самом диске с WinXP PE есть AVZ 4.23. Он работает, но у него устаревшие базы.
Я удалил с ноутбука все данные и деинсталировал практически все программы, чтобы уменьшить время сканирования.
Прилагаю последние логи.
С виду ситуация не изменилась. Есть ли шансы вылечить заразу?
Мне надо принимать решение о том, чтобы искать другой ноутбук.
Под Windows PE запустите тот AVZ 4.23 и выполните такой скрипт:
Потом перезагрузитесь в свою систему и повторите лог по п.1 Диагностики
(стандартный скрипт #3).
Добавлено через 1 минуту
Пришлите по правилам файл
C:\WINDOWS\System32\drivers\btserial2.sys.
Выгрузить btserial2.sys не получается
AVZ выдает диагностику:
Выполнил скрипт из под WinPE
Перегрузился сделал проверку. Лог прилагаю.
Если надо я могу из под WinPE скопировать btserial2.sys зазиповать и прислать
P.S. Не могу. В режиме WinPE файла btserial2.sys в каталоге c:\windows\System32\drivers\ нет. Такие дела.
я скопировал под WinPE все содержимое диска С на флешку. Теперь могу ковыряться в нем на своем домашнем компе.
Подцепил hives к своему реестру. Посмотрел ключ
HKEY_USERS\s111\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit=C:\WINDOWS\SYSTEM32\Userinit.exe,
В ключах
В HKEY_USERS\s111\Microsoft\Windows\CurrentVersion\R un
тоже ничего подозрительного.
btserial2.sys в реестре не нашлось, что логично. Такого файла на диске нет. Видимо ROOTKIT динамически его как-то подсовывает.
Как же эта дрянь может запускаться?
Сейчас проверю содержимое диска С на своем компе с помощью AVPTool и AVZ с последними обновлениями.
Добавлено через 57 минут
Проверил скопированные данные с диска С ноутбука.
AVPTool и AVZ показали 0 подозрений.
На ноутбуке все без изменений.
И при обычной загрузке и в SafeMode:
— AVPTool не устанавливается, выдает ошибку приложения в конце инсталляции
— avz.exe запускается только переименованным
— gmer.exe запускается только переименованным. В конце скана выдает сообщение о налиичии ROOTKIT.
Времени не осталось. Принято решение переставлять Винду.
Спасибо всем принявшим участие.
Еще раз спасибо за помощь.
Возможно DLOADER [Trojan] (заявка № 184474)
Опции темы
Возможно DLOADER [Trojan]
Приветствую Вас, Администрация форума! Перейду сразу к делу: У меня мощный ноутбук, ни разу не тормозил, но вот в последнюю неделю начал сильно тормозить моментами, даже иногда зависает на некоторое время. Я подумал, что у меня вирус и решил проверить с Доктор Веб. Я был прав, нашло 20 угроз, нажал «Обезвредить», но 4 угрозы не подверглись уничтожению. Тогда я решил пойти хитрым способом, нашел адресс файла и попытался удалить в ручную, но итог меня не обрадовал, система не дает удалить файл. Я один раз к вам уже обращался за помощью, и вы мне очень сильно помогли. Даже добавил ваш форум в избранные. Надеюсь, что вы мне снова поможете)
И забыл отметить: когда я сижу с Opera, у меня всегда кричит антивирусник, что он поместил DLOADER в карантин, снова и снова.
Чем может быть это явление? Сейчас предоставлю скрины от антивирусника.
Жду вашего ответа =)
С уважением,
Filolog21!
123.jpg Screenshot_7.jpg
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Filolog21, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Предоставляю лог от AVZ, но HT заблокировал доктор веб.
Обновите базы AVZ и переделайте логи
Антивирусная помощь
Это понравилось:
Предоставляю логи. Но у меня возникла еще одна проблемка, быть может, вы мне поможете и ее разрешить? Перестал работать Джава.
TTVgpRm.png
Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
и сохраните на Рабочем столе.Неизвестный Троян Downloader
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Подозрение на Trojan.Dloader (заявка № 10851)
Опции темы
Dr.Web выдает подозрение на Trojan.Dloader в папке временыых файлов Эксплорера (html-файл), сразу за этим выдает подозрение на Trojan.Dloader в папке временных файлов пользователя (exe-файл).
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее. ):
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой «Прислать запрошенные файлы» над первым сообщением темы)
Файл сохранён как 070706_122825_virus_468dfd29b8101.zip
Размер файла 57722
MD5 472a2a7c72333be987151d367a267321
Rogoff, обновите базы AVZ и сделайте логи заново, для того, чтобы убедится что файлы удалены.
Dr.Web, по идее, больше ругаться не должен.
обновил АВЗ, проверил, похоже что-то осталось
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее. ):
Странное дело, после выполнения скрипта, АВЗ снова находит вирусы. Может нужно под учетной записью с полными правами комп проверить? Потому что hijackthis ругается при сканировании.
Ничего странного нет, если запускать AVZ под юзером с ограниченными правами, то драйвер его не загрузиться, стало быть AVZ не справиться
«у нас все ходы записаны
»