Список форумов Шадринский форум -> Городская сеть Курьер плюс -> Вопросы, жалобы и предложения -> win32/Dtray.A trojan
Начать новую тему   Ответить на тему   вывод темы на печать

win32/Dtray.A trojan

Автор
Сообщение
-Иван-
Начинающий


Пол: Пол:Муж.
Зарегистрирован: 28.02.2007
Сообщения: 5


Статус: Offline
СообщениеДобавлено: 2007.02.28 22:29.15
Ответить с цитатой
Всех приветствую. Проблема в том, что эта гадость сидит уже около месяца. Чем только не травил. Каспер не берет, Аваст тоже. сейчас поставил нод32. Чего-то поудалял, но есть подозрение что это не всё. Примерно через каждые 10-15 минут антивирус кричит. Причем каждый раз он обнаруживает файлы с одними и теми же именами, например: 1С, Baza, Foto, Резюме и т.д. Вот так каждый раз. Удалить он их не может. И ещё win32/Virut.5127 virus. Такую штуку нашел. Винду менял уже раза 3. Срочно нужны продуктивные предложения. Спаибо заранее.
Посмотреть профиль Отправить личное сообщение
VM
ghost


Пол: Пол:Муж.
Зарегистрирован: 13.10.2006
Сообщения: 1368
Откуда: а вот

Статус: Offline
СообщениеДобавлено: 2007.03.01 00:31.25
Ответить с цитатой
снеси все нахрен........... форматни все разделы жоского, поставь винду, и ничего старого (до этого лежавшего на компе) не заливай...............должно помочь (действует почти против любого вируса) Ржу

Добавлено спустя 1 минуту 28 секунд:

форматировать не через винду)))

Добавлено спустя 1 минуту 31 секунду:

или ваче комп поменяй)))))))))))))))))))))))
шучу
_________________
Не бывает безвыходных ситуаций. Есть только ситуации, выход из которых тебя не устраивает...
Я вернулся =)
Посмотреть профиль Отправить личное сообщение ICQ Number
SKIP
Админ


Пол: Пол:Муж.
Зарегистрирован: 25.11.2004
Сообщения: 5209
Откуда: а че?

Статус: Offline
СообщениеДобавлено: 2007.03.01 00:47.59
Ответить с цитатой
Trojan.Win32.Dtray.a

Другие названия
Trojan.Win32.Dtray.a («Лаборатория Касперского») также известен как: Win32.HLLW.Demot (Doctor Web)
Детектирование добавлено 08 фев 2005
Описание опубликовано 11 май 2005
Поведение Trojan, троянская программа
Технические детали

Вредоносная программа, написанная на Delphi и упакованная Aspack. Размер файла — около 36 КБ.
Инсталляция

Копирует себя в директорию Windows под именем rundl32.exe. Добавляет соответствующую запись в раздел реестра для автозагрузки:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"RUNDLL32"="<имя файла>"

Действия

Время от времени набирает через модем междугородний номер телефона 83335******. Копирует себя на диск A:\ и в общие (shared) директории под разными именами, например:

* Otkrytka<много пробелов>.exe
* Premiya<много пробелов>.exe
* SuperTetris<много пробелов>.exe
* Telefons<много пробелов>.exe
* Kompromat<много пробелов>.exe
* Почта<много пробелов>.exe
* Резюме<много пробелов>.exe
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора ICQ Number
Hummel
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 01.12.2005
Сообщения: 826


Статус: Offline
СообщениеДобавлено: 2007.03.01 08:02.27
Ответить с цитатой
-Иван-
Подсеть какая у тебя?
А то в 84 эта штука гуляет. Он еще на принтеры, отправляет документы низкого уровня, всякие кракозяблы лезут. Жуткая вещь, далее сам открывает доступ к локальным дискам!!! В 84 подсети где то три машины им заражено, как минимум , запарили уже.
_________________
Это текст, который можно добавлять к размещаемым вами сообщениям.
Посмотреть профиль Отправить личное сообщение Отправить e-mail ICQ Number
-Иван-
Начинающий


Пол: Пол:Муж.
Зарегистрирован: 28.02.2007
Сообщения: 5


Статус: Offline
СообщениеДобавлено: 2007.03.01 08:56.00
Ответить с цитатой
Hummel
Да 84 подсеть. Вариант с снесением всей инфы не подходит. Какие ещё варианты?
Посмотреть профиль Отправить личное сообщение
Hummel
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 01.12.2005
Сообщения: 826


Статус: Offline
СообщениеДобавлено: 2007.03.01 09:09.55
Ответить с цитатой
-Иван-
А IP какой у тебя?
Еще вариант отключи учетную запись гостя для начала, потом просканируй на вирусы.
_________________
Это текст, который можно добавлять к размещаемым вами сообщениям.
Посмотреть профиль Отправить личное сообщение Отправить e-mail ICQ Number
Locky
Запомнил кнопки...


Пол: Пол:Муж.
Зарегистрирован: 12.06.2006
Сообщения: 225
Откуда: от сюда

Статус: Offline
СообщениеДобавлено: 2007.03.01 10:41.46
Ответить с цитатой
Я этот вирус и в 80 подсети видел у некоторых.
Кстати у меня тоже он был, пока все не форматнул и поновой винду не поставил.
Посмотреть профиль Отправить личное сообщение ICQ Number
Hummel
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 01.12.2005
Сообщения: 826


Статус: Offline
СообщениеДобавлено: 2007.03.01 10:51.03
Ответить с цитатой
Вот IP с которых сегодня была атака 84.119 и 84.47
_________________
Это текст, который можно добавлять к размещаемым вами сообщениям.
Посмотреть профиль Отправить личное сообщение Отправить e-mail ICQ Number
Locky
Запомнил кнопки...


Пол: Пол:Муж.
Зарегистрирован: 12.06.2006
Сообщения: 225
Откуда: от сюда

Статус: Offline
СообщениеДобавлено: 2007.03.01 11:14.40
Ответить с цитатой
вот эти тоже атакуют 80.69 и 80.39, 80.22 тоже атаковал как то.
_________________
Не все в этом мире можно решить кулаками, иногда нужна дубинка!
Посмотреть профиль Отправить личное сообщение ICQ Number
-Иван-
Начинающий


Пол: Пол:Муж.
Зарегистрирован: 28.02.2007
Сообщения: 5


Статус: Offline
СообщениеДобавлено: 2007.03.01 11:53.23
Ответить с цитатой
Системный диск тоже уже форматировал, винду переустанавливал. Всё-равно лезет. То-ли со второго винта, то-ль из сети снова. Какова фига антивиры то его не лечат. 84.242 вроде ип мой.
Посмотреть профиль Отправить личное сообщение
Hummel
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 01.12.2005
Сообщения: 826


Статус: Offline
СообщениеДобавлено: 2007.03.01 14:11.53
Ответить с цитатой
-Иван-
Лезет из сети используюя учетную запись Гость, вариант либо поставить пароль на эту запись либо снести ее вообще
_________________
Это текст, который можно добавлять к размещаемым вами сообщениям.
Посмотреть профиль Отправить личное сообщение Отправить e-mail ICQ Number
-Иван-
Начинающий


Пол: Пол:Муж.
Зарегистрирован: 28.02.2007
Сообщения: 5


Статус: Offline
СообщениеДобавлено: 2007.03.01 14:42.07
Ответить с цитатой
Hummel
ОК, спаибо, попробую.
Посмотреть профиль Отправить личное сообщение
Pavel
Писатель


Пол: Пол:Муж.
Зарегистрирован: 29.11.2004
Сообщения: 312


Статус: Offline
СообщениеДобавлено: 2007.03.01 16:24.22
Ответить с цитатой
-Иван-
net share смотри какие папки расшарены у тебя и отключай их. он туда полубому лезет.
Посмотреть профиль Отправить личное сообщение
andy ice
Militärmagazinkatze


Пол: Пол:Муж.
Зарегистрирован: 25.11.2004
Сообщения: 23385


Статус: Offline
СообщениеДобавлено: 2007.03.01 17:26.07
Ответить с цитатой
правой кнопой мыши (пкм) на сетевом окружении, свойства

пкм на сетевом подключении, свойства

клиент сети микрософт - или снять галку или удалить нахрен. и всё.

служба доступа к принтерам и файлам - снять галку или удалить нахрен.

и всё.
_________________
Ин дер гросен фамилие нихт клювен клац-клац Neutral
Посмотреть профиль Отправить личное сообщение Отправить e-mail ICQ Number
-Иван-
Начинающий


Пол: Пол:Муж.
Зарегистрирован: 28.02.2007
Сообщения: 5


Статус: Offline
СообщениеДобавлено: 2007.03.01 19:11.47
Ответить с цитатой
У меня ви-фи с ноутом настроено и расшареные папки в принцыпе нужны. Туда (на ноут) они почему-то не лезут. Службы отключать - это единственый выход? Или это временные меры? В любом члучае спасибо за помощь, доже не ожидал такого внимания))))

ЗЫ: я по форумам не общался никогда, видимо отсюда и удивления)
Посмотреть профиль Отправить личное сообщение
andy ice
Militärmagazinkatze


Пол: Пол:Муж.
Зарегистрирован: 25.11.2004
Сообщения: 23385


Статус: Offline
СообщениеДобавлено: 2007.03.02 13:58.08
Ответить с цитатой
-Иван-
фаервол включи на машине, которая в сеть смотрит Smile

а ноут из сети скорее всего недоступен, потому в него и не лезут
_________________
Ин дер гросен фамилие нихт клювен клац-клац Neutral
Посмотреть профиль Отправить личное сообщение Отправить e-mail ICQ Number
Shot
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 16.08.2005
Сообщения: 925
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2007.05.25 12:34.23
Ответить с цитатой
Win32/Dtray.A.
Как его убрать из компа, без формат С?
_________________
Приму в дар дефибриллятор
Посмотреть профиль Отправить личное сообщение
rocker
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 18.12.2006
Сообщения: 1261
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2007.05.25 12:47.35
Ответить с цитатой
Хорошенько сканить антивирусом,скажем NOD32
Сколько случаев знаю, при работе этого антивируса -он удаляет все отлично,а у кого не удаляет - плохо настроен, либо попросту пользоваться не могут!
И уже при вмешательстве другого человека, этот же антивирус сносит вирусы прекрасно! (если чел уж сам не может удалить эту живность!)
И вообще, есть антвирус и есть формат диска - больше выходов не виже.
Если заражены другие файлы - придется удалить и их!
Посмотреть профиль Отправить личное сообщение
Shot
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 16.08.2005
Сообщения: 925
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2007.05.25 12:53.54
Ответить с цитатой
File C:\WINDOWS\rundl32.Vexe is infected with trojan Win32/Dtray.A. The file can be deleted. It is strongly recommended that you back up any crucial data before you proceed
Можно этот файл удалять?
_________________
Приму в дар дефибриллятор
Посмотреть профиль Отправить личное сообщение
rocker
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 18.12.2006
Сообщения: 1261
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2007.05.25 13:19.23
Ответить с цитатой
Ну все верно,зараже у тебя системный файл!
то есть винда сыплется у тебя!
Вариант может быть такой (тока не уверен что самый лучший):
В безопасном режиме запусти антивирус,потом запусти команду восстановления файлов системы(не помню какую)
Но это после полного удаления вирусов!

Добавлено спустя 3 минуты 32 секунды:

Вот тока этот файл должен лежать не в корне Windows а в Windows/system32
А тот судя по всему псевдо системный файл - поможет в удалении не удаляемого -Unlocker
Щелуни по нему правой кнопкой мыши и выбери этот процесс ,далее из выпадающего меню выбери Удалить и жми разблокировать!
Посмотреть профиль Отправить личное сообщение
Shot
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 16.08.2005
Сообщения: 925
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2007.05.25 13:22.50
Ответить с цитатой
rocker
Спасибо за совет, страшно пробывать.
Может еще ктонть напишет как избавиться от сей беды. Sad
_________________
Приму в дар дефибриллятор
Посмотреть профиль Отправить личное сообщение
rocker
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 18.12.2006
Сообщения: 1261
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2007.05.25 13:25.43
Ответить с цитатой
Пробуй все же в безопасном режиме!
Посмотреть профиль Отправить личное сообщение
JUSTer
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 25.11.2004
Сообщения: 4139
Откуда: Mest.net

Статус: Offline
СообщениеДобавлено: 2007.05.25 19:12.27
Ответить с цитатой
Зараза с 192.168.80.121 (Win32/ShipUp.NAB троян.)
_________________
Помните, мудр не тот, кто не совершает ошибок, а тот, кто их осознает.
Посмотреть профиль Отправить личное сообщение Посетить сайт автора ICQ Number
rocker
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 18.12.2006
Сообщения: 1261
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2007.05.26 07:36.13
Ответить с цитатой
Обратись в К+ они помогут с лечением клиента!
Сам обращался-вирус на фтп закинули-по логам нашел этого типа и вроде был такой же адресок.... Shocked
Посмотреть профиль Отправить личное сообщение
Лек$
Освоившийся


Пол: Пол:Муж.
Зарегистрирован: 25.11.2004
Сообщения: 66


Статус: Offline
СообщениеДобавлено: 2008.07.19 12:57.34
Ответить с цитатой
Подскажите сервер обновления нода?Плиз....
Посмотреть профиль Отправить личное сообщение ICQ Number
Vlad"ka
Писатель


Пол: Пол:Муж.
Зарегистрирован: 31.08.2007
Сообщения: 560
Откуда: Russia

Статус: Offline
СообщениеДобавлено: 2008.07.19 13:18.55
Ответить с цитатой
Лек$
че к чему. искать надо в других темах!

http://nod32.home.lan/
_________________
aka HELENBLU
Посмотреть профиль Отправить личное сообщение ICQ Number
Лек$
Освоившийся


Пол: Пол:Муж.
Зарегистрирован: 25.11.2004
Сообщения: 66


Статус: Offline
СообщениеДобавлено: 2008.07.21 10:01.02
Ответить с цитатой
Спасибо, я просто не знал куда написать я тут не знаю что да где.....
Посмотреть профиль Отправить личное сообщение ICQ Number
qwer
Начинающий



Зарегистрирован: 13.12.2007
Сообщения: 12


Статус: Offline
СообщениеДобавлено: 2008.07.27 07:58.29
Ответить с цитатой
так.. для сведения
_________________
Достигай то, к чему стремишься, и не бойся быть уничтоженным!



jdv1212563395t.jpg
 Описание:
 Размер файла:  51.43 KB
 Просмотрено:  8776 раз(а)

jdv1212563395t.jpg



klz1212563380q.jpg
 Описание:
 Размер файла:  61.31 KB
 Просмотрено:  8769 раз(а)

klz1212563380q.jpg


Посмотреть профиль Отправить личное сообщение
rocker
Заслуженный писатель


Пол: Пол:Муж.
Зарегистрирован: 18.12.2006
Сообщения: 1261
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2008.07.27 08:45.58
Ответить с цитатой
qwer
гыгы Касперский и аваст в попе,однако...
Посмотреть профиль Отправить личное сообщение
silitra
Админ


Пол: Пол:Муж.
Зарегистрирован: 24.11.2004
Сообщения: 2168
Откуда: Шадринск

Статус: Offline
СообщениеДобавлено: 2008.07.27 09:33.23
Ответить с цитатой
rocker
По скорости каспер в опе, но ведь качественная работа требует больше времени )))
Посмотреть профиль Отправить личное сообщение ICQ Number
Страница 1 из 2
Начать новую тему   Ответить на тему   вывод темы на печать
На страницу 1, 2  След.
Показать сообщения:   
Список форумов Шадринский форум -> Городская сеть Курьер плюс -> Вопросы, жалобы и предложения -> win32/Dtray.A trojan

 
Перейти: 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы