Printable Version of Topic
Click here to view this topic in its original format
Forums > Глюкодром > Как избавиться от трояна!!! ?, Нортон видит, а ничего сделать не может.


Posted by: Vova on 11-01-2005, 22:43
Блин, завелся троян :fear2:
Downloader.Trojan
Сидит вот здесь: C:\windows\system32\ef40a.dll
Нортон его видит, а сделать ни чего не может.
Ad-aware вооще не видит.
Пробовал удалить в ручную не получатся :help:

Posted by: Billy Bonce on 11-01-2005, 22:50
Eсли верить дядке Нортону, то фсе просто:

1. Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Run a full system scan and delete all the files detected as VBS.Downloader.Trojan.

взял отседа: http://securityresponse.symantec.com/avcenter/venc/data/vbs.downloader.trojan.html (http://securityresponse.symantec.com/avcenter/venc/data/vbs.downloader.trojan.html

Posted by: Vova on 11-01-2005, 23:03
Спасибо за инфу.
Ща попробую :w00t: Правда в английском я не силен, но суть понял ;)

Posted by: Vova on 12-01-2005, 00:16
Ни фига не получается :wall:
Вроде удалил. Прогоняю еще раз для проверки, а он опять тут :fear2:

Posted by: Lord KiRon on 12-01-2005, 00:23
Всё вышеперечисленное надо делать в ^SafeMode^ .

Posted by: Vova on 12-01-2005, 00:26
QUOTE (Lord KiRon @ 11-01-2005, 20:23):
Всё вышеперечисленное надо делать в ^SafeMode^ .

Ага, понятно где искать.
Попробую так. Спасибо за подсказку.

Posted by: Vova on 12-01-2005, 22:48
Как только ни пробовал :fu:
Ну ни фига не могу побороть :fear2: :help:

Posted by: Michael2000 on 12-01-2005, 23:00
Зайди с какой нибуть live cd операционки. Крайняк загрузись в досе с каким нибудь файлменеджером,кот-й работает с NTFS. http://neosoft.ru/norton/norton.htm (http://neosoft.ru/norton/norton.htm

Posted by: gene on 12-01-2005, 23:15
QUOTE (Michael2000 @ 12-01-2005, 14:00):
загрузись в досе с каким нибудь файлменеджером,кот-й работает с NTFS. http://neosoft.ru/norton/norton.htm (http://neosoft.ru/norton/norton.htm

Их там туча. :fear2: Можешь порекомендовать какой-нибудь конкретно? :punk:

Posted by: Michael2000 on 12-01-2005, 23:39
Я пользуюсь бутовым диском с переработаным командером волкова.У меня там еще куча всего,при случае зарелижу. в свое время составлял сам,потом нашел в инете готовый проект,сделаный лучше,чем делал я,на нем и остановился... http://62.253.162.19/hiren.thanki/bootcd.html (http://62.253.162.19/hiren.thanki/bootcd.html

Posted by: Pikachu on 13-01-2005, 01:13
QUOTE (Vova @ 12-01-2005, 20:48):
Как только ни пробовал  :fu:  Ну ни фига не могу побороть  :fear2:  :help:

Enter REMOVE DOWNLOADER TROJAN (http://delspy.com/Trojan/Remove-Downloader-Trojan.html
REMOVE DOWNLOADER TROJAN (http://stop-adware.net/trojan/Remove-Downloader-Trojan.html

Posted by: Sergi-o on 13-01-2005, 09:51
1. Почистить все каталоги TEMP: %WINDIR%/TEMP + %USERPROFILE%/Local Settings/Temp
2. Почистить Temporary Internet Files
3. Загрузится В режим коммандной строки
4. cd %WINDIR%/System32
5. del зловредный dll
6. reboot :)

Posted by: Vova on 16-01-2005, 21:18
Перепробовал все предложенное, кроме Волков коммандер ( он что NTFS видит???)
Сидит падла на своем месте :gun5: И регулярно о себе напоминает через Нортона :fu:
На досуге еще посмотрю что можно с Волков коммандер, если нет! Кардинальное и самое действенное решение на момент: format c: да и все остальное. :death1:

Posted by: astra on 16-01-2005, 21:36
Может быт; попробовать другой антивирус? Например касперского?
Даже если он не нравится то только на время, может быть ему удастся удалить гада, потом инсталируеш заного нортон?

Posted by: Michael2000 on 16-01-2005, 21:36
Если это системный (или общий) dll,мастдай его сам восстанавливает. переработаный FM видит NTFS,и вообще там куча всего для ремонта,линк я дал выше.

Posted by: Vova on 16-01-2005, 22:33
QUOTE (Michael2000 @ 16-01-2005, 17:36):
Если это системный (или общий) dll,мастдай его сам восстанавливает. переработаный FM видит NTFS,и вообще там куча всего для ремонта,линк я дал выше.

Да это я смотрел.
Только или я совсем чаник, но где там его скачать?

Posted by: TEXHIK on 17-01-2005, 01:00
Есть ещё такая штука: HijackThis сайт: http://www.tomcoyote.org/hjt/ (http://www.tomcoyote.org/hjt/

Posted by: Michael2000 on 17-01-2005, 07:12
Да хоть ЗДЕСЬ (http://files.9down.com/Hiren.BootCD.6.0.Incl.KeyBoard.Patch-www.9down.com.rar,они же пишут-поиск в инете. Главное не забыть проверить антивирусом потом. А вот тебе в осле:Hiren's.BootCD.6.0.iso (ed2k://|file|Hiren_s.BootCD.6.0.iso|37984256|4DCEE4D7934E173D2BBCA55C45E445AC|/.

Posted by: imageman on 10-02-2005, 10:47
QUOTE (Vova @ 11-01-2005, 20:43):
Downloader.Trojan
Сидит вот здесь: C:\windows\system32\ef40a.dll

попробуй "Spybot - Search & Destroy 1.2 - product description
Application to scan for spyware, adware, hijackers and other malicious software"
home (http://www.safer-networking.org/en/index.html

Дополнительно, для особо тяжелых случаев, я делаю так. Гружусь в safe режиме. В этом режиме удаляю ef40a.dll (запускаю поиск и грохаю все копии). Как я подозреваю после перезагрузки она появится снова (где-то в системе есть загрузчик ef40a.dll из интернета). Для такого загрузчика я делаю следующую вещь: копирую файл ping.exe в файл ef40a.dll (думаю сможешь это сделать?). А потом запрещаю любому юзеру и процессу менять этот файл. Подробнее читай в справке WinXP по запросу "Set file permissions". После того, как мы установили permissions ReadOnly никакой троян не сможет его переписать (по крайней мере я на это надеюсь).

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)