trojan dumador.Al
Witam
Ostatnio skanowałem kompa mks vir i wykrył mi trojana jest w pliku pod nazwą dvpd.dll i nie mogę go usunąć. Proszę o pomoc jak się tego pliku pozbyć. Uruchamiałem teź w trybie awaryjnym i to samo brak moźliwości usunięcia tego pliku
Ostatnio skanowałem kompa mks vir i wykrył mi trojana jest w pliku pod nazwą dvpd.dll i nie mogę go usunąć. Proszę o pomoc jak się tego pliku pozbyć. Uruchamiałem teź w trybie awaryjnym i to samo brak moźliwości usunięcia tego pliku
Odpowiedzi: 5
W większości przypadków jak podaje jakiś link w języku Sasów to potem pojawiają się 'zwroty' :wink:
Jakiego teraz języka uczą w szkołach, Hindi ? :mrgreen:
Oprócz dvpd.dll powinien być jeszcze proces Backdoora jeśli jest aktywny, jaki to proces to skaner powinien wskazać.
Moźe to być w zaleźności od wariantu :
netda.exe netdb.exe netdc.exe
Dllreg.exe Vxdmgr32.exe Load32.exe Rundllw.exe
Swchost.exe Svohost.exe Svchost.exe ( w innej lokalizacji niź System 32 ).
Wyłącz przywracanie systemu,
Uruchom PC w trybie awaryjnym za pomocą F8,
Wyszukaj za pomocą wyszukiwarki systemowej n/w pliki zaznaczając w zaawansowanych opcjach wyszukiwania pliki ukryte, systemowe, foldery, podfoldery,
netda.exe ( nazwa moźe być inna zainfekowanego .exe, ale tej dla przykładu będe uźywał ) – zakończ proces w Task`u jeśli jest i usuń.
DVPD.DLL – usuń
W Uruchom wydaj polecenie Regedit,
Przejdz do klucza HKEY_LOCAL_MACHINESoftwareMicrosoft\r WindowsCurrentVersionRun i po prawej stronie okna usuń odwołanie do pliku [load32] – "%System% etda.exe, jeśli się znajuduje.
Wedytuj klucz HKEY_CURRENT_USERSoftware znajdz teraz w ciągu po lewej stronie okna klucz z nazwą SARS i usuń go jeśli się znajduje,
Wedytuj klucz HKEY_CURRENT_USERSoftwareMicrosoft\r Internet ExplorerMain,
przejdz do prawego okienka i znajdz AllowWindowReuse – "dword:00000000 usuń tą wartość, jeśli się znajduje,
Przejdz do klucza HKEY_LOCAL_MACHINESoftwareMicrosoft\r Windows NTCurrentVersionWinlogon i po prawej stronie okienka znajdz wartość Shell – "explorer.exe %System% etdc.exe" zaznacz ją i z PPM modyfikuj,
Dokonujesz zmiany na Shell "explorer.exe"
Zamykasz Edytor Rejestru,
W Uruchom wpisz SYSTEM.INI,
W sekcji [BOOT] znajdz Shell–Explorer.exe i z tej samej linijki usuwasz %System% etdc.exe
Zapisujesz zmiany i zamykasz,
Wyszukujesz %System%driversetcHOSTS i edytujesz go w notatniku,
Usuwasz wpisy :
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my–etrust.com
127.0.0.1 my–etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f–secure.com
127.0.0.1 f–secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
Jeśli sa.
Jeśli masz obawy przed modifikacją rejestru to próbuj Remover`em podanym przez Gagman`a.
Moźesz takźe podać log z HJT wcelu zlokalizowania .exe ( jeśli wogóle jest ), tą drogą moźna takźe Cię pokierować, ale ewentualnych zmian w System.INI i HOST musisz dokonać sam jeśli Remover tego nie zrobi.
Jakiego teraz języka uczą w szkołach, Hindi ? :mrgreen:
Oprócz dvpd.dll powinien być jeszcze proces Backdoora jeśli jest aktywny, jaki to proces to skaner powinien wskazać.
Moźe to być w zaleźności od wariantu :
netda.exe netdb.exe netdc.exe
Dllreg.exe Vxdmgr32.exe Load32.exe Rundllw.exe
Swchost.exe Svohost.exe Svchost.exe ( w innej lokalizacji niź System 32 ).
Wyłącz przywracanie systemu,
Uruchom PC w trybie awaryjnym za pomocą F8,
Wyszukaj za pomocą wyszukiwarki systemowej n/w pliki zaznaczając w zaawansowanych opcjach wyszukiwania pliki ukryte, systemowe, foldery, podfoldery,
netda.exe ( nazwa moźe być inna zainfekowanego .exe, ale tej dla przykładu będe uźywał ) – zakończ proces w Task`u jeśli jest i usuń.
DVPD.DLL – usuń
W Uruchom wydaj polecenie Regedit,
Przejdz do klucza HKEY_LOCAL_MACHINESoftwareMicrosoft\r WindowsCurrentVersionRun i po prawej stronie okna usuń odwołanie do pliku [load32] – "%System% etda.exe, jeśli się znajuduje.
Wedytuj klucz HKEY_CURRENT_USERSoftware znajdz teraz w ciągu po lewej stronie okna klucz z nazwą SARS i usuń go jeśli się znajduje,
Wedytuj klucz HKEY_CURRENT_USERSoftwareMicrosoft\r Internet ExplorerMain,
przejdz do prawego okienka i znajdz AllowWindowReuse – "dword:00000000 usuń tą wartość, jeśli się znajduje,
Przejdz do klucza HKEY_LOCAL_MACHINESoftwareMicrosoft\r Windows NTCurrentVersionWinlogon i po prawej stronie okienka znajdz wartość Shell – "explorer.exe %System% etdc.exe" zaznacz ją i z PPM modyfikuj,
Dokonujesz zmiany na Shell "explorer.exe"
Zamykasz Edytor Rejestru,
W Uruchom wpisz SYSTEM.INI,
W sekcji [BOOT] znajdz Shell–Explorer.exe i z tej samej linijki usuwasz %System% etdc.exe
Zapisujesz zmiany i zamykasz,
Wyszukujesz %System%driversetcHOSTS i edytujesz go w notatniku,
Usuwasz wpisy :
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my–etrust.com
127.0.0.1 my–etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f–secure.com
127.0.0.1 f–secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
Jeśli sa.
Jeśli masz obawy przed modifikacją rejestru to próbuj Remover`em podanym przez Gagman`a.
Moźesz takźe podać log z HJT wcelu zlokalizowania .exe ( jeśli wogóle jest ), tą drogą moźna takźe Cię pokierować, ale ewentualnych zmian w System.INI i HOST musisz dokonać sam jeśli Remover tego nie zrobi.
program http://free.of.pl/s/sapero/procexp.zip
instrukcja http://free.of.pl/s/sapero/procexp.jpg
Handle or type – wpisz nazwę tego dll (trojana), po kolei zaznaczaj to co znajdzie i w głównym oknie na dole prawym na trojanie / close handle
NIE zamykaj nic innego jak uchwyty do plików (exe, dll, txt ...) bo skopiesz sobie system na amen
Po tym zabiegu moźesz usunąć plik z dysku
instrukcja http://free.of.pl/s/sapero/procexp.jpg
Handle or type – wpisz nazwę tego dll (trojana), po kolei zaznaczaj to co znajdzie i w głównym oknie na dole prawym na trojanie / close handle
NIE zamykaj nic innego jak uchwyty do plików (exe, dll, txt ...) bo skopiesz sobie system na amen
Po tym zabiegu moźesz usunąć plik z dysku
moźesz mi to przetłumaczyć na polski bo nie bardzo rozumiem angielskiego
:arrow: http://uk.trendmicro–europe.com/enterprise/security_info/ve_detail.php?id=66763&VName=BKDR_NIBU.E&VSect=O
Strona 1 / 1