Forums -> Глюкодром -> Как избавиться от трояна!!! ?
| Full Version

Vova
@ 11-01-2005, 22:43
Блин, завелся троян :fear2:
Downloader.Trojan
Сидит вот здесь: C:\windows\system32\ef40a.dll
Нортон его видит, а сделать ни чего не может.
Ad-aware вооще не видит.
Пробовал удалить в ручную не получатся :help:
Billy Bonce
@ 11-01-2005, 22:50
Eсли верить дядке Нортону, то фсе просто:

1. Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Run a full system scan and delete all the files detected as VBS.Downloader.Trojan.

взял отседа: http://securityresponse.symantec.com/avcenter/venc/data/vbs.downloader.trojan.html


Vova
@ 11-01-2005, 23:03
Спасибо за инфу.
Ща попробую :w00t: Правда в английском я не силен, но суть понял ;)
Vova
@ 12-01-2005, 00:16
Ни фига не получается :wall:
Вроде удалил. Прогоняю еще раз для проверки, а он опять тут :fear2:
Lord KiRon
@ 12-01-2005, 00:23
Всё вышеперечисленное надо делать в ^SafeMode^ .
Vova
@ 12-01-2005, 00:26
QUOTE (Lord KiRon @ 11-01-2005, 20:23)
Всё вышеперечисленное надо делать в ^SafeMode^ .

Ага, понятно где искать.
Попробую так. Спасибо за подсказку.
Vova
@ 12-01-2005, 22:48
Как только ни пробовал :fu:
Ну ни фига не могу побороть :fear2: :help:
Michael2000
@ 12-01-2005, 23:00
Зайди с какой нибуть live cd операционки. Крайняк загрузись в досе с каким нибудь файлменеджером,кот-й работает с NTFS. http://neosoft.ru/norton/norton.htm
gene
@ 12-01-2005, 23:15
QUOTE (Michael2000 @ 12-01-2005, 14:00)
загрузись в досе с каким нибудь файлменеджером,кот-й работает с NTFS. http://neosoft.ru/norton/norton.htm

Их там туча. :fear2: Можешь порекомендовать какой-нибудь конкретно? :punk:
Michael2000
@ 12-01-2005, 23:39
Я пользуюсь бутовым диском с переработаным командером волкова.У меня там еще куча всего,при случае зарелижу. в свое время составлял сам,потом нашел в инете готовый проект,сделаный лучше,чем делал я,на нем и остановился... http://62.253.162.19/hiren.thanki/bootcd.html
Pikachu
@ 13-01-2005, 01:13
QUOTE (Vova @ 12-01-2005, 20:48)
Как только ни пробовал  :fu:  Ну ни фига не могу побороть  :fear2:  :help:

Enter REMOVE DOWNLOADER TROJAN
REMOVE DOWNLOADER TROJAN
Sergi-o
@ 13-01-2005, 09:51
1. Почистить все каталоги TEMP: %WINDIR%/TEMP + %USERPROFILE%/Local Settings/Temp
2. Почистить Temporary Internet Files
3. Загрузится В режим коммандной строки
4. cd %WINDIR%/System32
5. del зловредный dll
6. reboot :)
Vova
@ 16-01-2005, 21:18
Перепробовал все предложенное, кроме Волков коммандер ( он что NTFS видит???)
Сидит падла на своем месте :gun5: И регулярно о себе напоминает через Нортона :fu:
На досуге еще посмотрю что можно с Волков коммандер, если нет! Кардинальное и самое действенное решение на момент: format c: да и все остальное. :death1:
astra
@ 16-01-2005, 21:36
Может быт; попробовать другой антивирус? Например касперского?
Даже если он не нравится то только на время, может быть ему удастся удалить гада, потом инсталируеш заного нортон?
Michael2000
@ 16-01-2005, 21:36
Если это системный (или общий) dll,мастдай его сам восстанавливает. переработаный FM видит NTFS,и вообще там куча всего для ремонта,линк я дал выше.
Vova
@ 16-01-2005, 22:33
QUOTE (Michael2000 @ 16-01-2005, 17:36)
Если это системный (или общий) dll,мастдай его сам восстанавливает. переработаный FM видит NTFS,и вообще там куча всего для ремонта,линк я дал выше.

Да это я смотрел.
Только или я совсем чаник, но где там его скачать?
TEXHIK
@ 17-01-2005, 01:00
Есть ещё такая штука: HijackThis сайт: http://www.tomcoyote.org/hjt/
Michael2000
@ 17-01-2005, 07:12
Да хоть ЗДЕСЬ,они же пишут-поиск в инете. Главное не забыть проверить антивирусом потом. А вот тебе в осле:Hiren's.BootCD.6.0.iso.
imageman
@ 10-02-2005, 10:47
QUOTE (Vova @ 11-01-2005, 20:43)
Downloader.Trojan
Сидит вот здесь: C:\windows\system32\ef40a.dll

попробуй "Spybot - Search & Destroy 1.2 - product description
Application to scan for spyware, adware, hijackers and other malicious software"
home

Дополнительно, для особо тяжелых случаев, я делаю так. Гружусь в safe режиме. В этом режиме удаляю ef40a.dll (запускаю поиск и грохаю все копии). Как я подозреваю после перезагрузки она появится снова (где-то в системе есть загрузчик ef40a.dll из интернета). Для такого загрузчика я делаю следующую вещь: копирую файл ping.exe в файл ef40a.dll (думаю сможешь это сделать?). А потом запрещаю любому юзеру и процессу менять этот файл. Подробнее читай в справке WinXP по запросу "Set file permissions". После того, как мы установили permissions ReadOnly никакой троян не сможет его переписать (по крайней мере я на это надеюсь).