Тrojan-Downloader-Как да го премахна?

[GinGer]

Касперски антивирус откри Trojan-Downloader.Win32.Delf.dbo във C:\WINDOWS\system32\mag_hoo.dll/PE_Patch.UPX//UPX.

Как да го премахна.Опитах да го изчистя в SafeMode,но не иска.Открих това за mag_hoo.dll

Filetype : Dll

A Dll file (Dynamically-Linked Library) shares functions and procedures which can be used by other windows programs.

 

Verified signature MD5 hash

A MD5 hash is a unique fingerprint of the file mag_hoo.dll

Different files/versions can have the same filename in windows. The MD5 hash verifies that the legitimate file is not altered or "fake".

Значи ли това ,че е легитимен windows процес и ако опитам да го фиксна с Hijackthis може да прецака системата.

Ето и лога от Hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:42:01 PM, on 12/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

D:\3.0\Apps\apdproxy.exe

C:\Program Files\Atheros\ACU.exe

C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

C:\SthVCD\SysExplr.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Documents and Settings\OSPC\Desktop\Myscan.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Reader 8.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {8312C8A7-31BD-42A0-8D9F-3472BECDE4B2} - C:\WINDOWS\system32\mag_hoo.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [sysExplr] C:\SthVCD\SysExplr.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

 

--

End of file - 5344 bytes

 

:'( :'( Компютъра "умря",докато го сканирах в safe mode със Spybot -search&destroy и му дадох да фиксне намерените проблеми.

Нещо по въпроса как да го съживя-изключи се и не ще да тръгне повече.

[Night_Raven]

Как точно се изключи и как не иска да тръгне? Не реагира, като натиснеш бутона на кутията? Блокира по време на зареждане? Как?

[GinGer]

Извинявам се,моя грешка.Така се бях гипсирала,става дума за ноутбук,хич не съм забелязала че се разкачил адаптера от зарядното,така и не успях да го подкарам след това ,не зная защо батерията не иска да даде контакт и не се зарежда.Той и без това замина в PCZona-та за поправка,но ще е много полезно от ваша страна,някой да ми обясни защо се получава така и как за в бъдеще мога да се справя сама с проблеми от такъв характер.

Казаха ми че за 10 евро ще му направят рестор и ще го изчистят,ама хич и не се сещам как,като му е изключен SystemRestore функцията.А думите им бяха,че вируса е "изял" Windows???.

[Night_Raven]

Може би аз съм глупав, но продължавам да съм в неведение за нещата. Как така са преценили, че вирусът е направил каквото и да било, след като компютърът не се включва?

Ще е много хубаво да се хванеш и да драснеш едно подробно и точно обяснение на ситуацията, че в момента имаме едни обяснения, които са ясни само на теб.

[GinGer]

С най-искренни извинения,че не мога да обясня нещата като хората:Както казах,угасна както си работеше и повече не можах да го включа,както и да се опитвах.Не реагираше на никакви бутони,изобщо не зареждаше-черен екран.Не зная в сервиза как са го подкарали,нито защо ми обещаха да го изчистят(което не направиха-сега го форматират и инсталират наново).Казаха ми че причината била във вируса.

[Night_Raven]

Хи-хи, май те вземат за мезе. Ако се включва, но не може да зареди операционна система, може и да е от вирус/троянец/софтуерен проблем, но няма как каквато и да било гадина да попречи на даден компютър или лаптоп да се включи и да не реагира на никакви бутони. Това може да е само хардуерен проблем.