Win32/Agent.NVL

[Lucky7]

Недавно компьютер подхватил вирус, который Nod32 определяет как Win32/Agent.NVL Trojan и ничего не может с ним сделать, только помещает в карантин файлы ххххх.sys, где xxxxx цифры.
В процессах висит неубиваемый процесс system.exe, аналогичный файл в C\Windows\system32.
Этот вирус прописан в автозагрузке, при удалении появляется снова.
Системная дата 1 января 2070 г.
Прошу помочь, заранее спасибо.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)

- Выполните скрипт

Код:

begin 
SearchRootkit(true, true); 
SetAVZGuardStatus(True); 
 TerminateProcessByName('c:\windows\system32\system.exe');
 QuarantineFile('C:\WINDOWS\system32\system.exe','');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\Documents and Settings\Иван\Рабочий стол\Новая папка\enter.jar','');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\system32\system.exe');
BC_ImportAll; 
ExecuteSysClean; 
BC_Activate; 
RebootWindows(true); 
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

Код:

virusinfo_syscure.zip 
virusinfo_syscheck.zip 
hijackthis.log

- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Lucky7]

Сделал как вы просили.

[Rene-gad]

Обновите базы АВЗ, установите системную дату.
-Пофиксите

Код:

R3 - URLSearchHook: (no name) -  - (no file)

- Выполните скрипт

Код:

begin 
SearchRootkit(true, true); 
SetAVZGuardStatus(True); 
  DeleteFile('C:\Documents and Settings\Иван\Рабочий стол\Новая папка\enter.jar');
BC_ImportAll; 
ExecuteSysClean; 
BC_Activate; 
RebootWindows(true); 
end.

После перезагрузки:
- Сделайте повторные логи

[Lucky7]

Вот новые логи

[drongo]

Системное восстановление отключить и не включать пока не закончим!
Антивирус отключить или деинсталировать!

Код:

begin 
SearchRootkit(true, true); 
SetAVZGuardStatus(True); 
ClearQuarantine;
 QuarantineFile('C:\System Volume Information\_restore{B59051F6-B3D1-4D4C-867B-690D08EC1939}\RP133\A0028788.exe','');
 QuarantineFile('C:\WINDOWS\system32\422.exe','');
 QuarantineFile('C:\WINDOWS\system32\530.exe','');
 QuarantineFile('C:\WINDOWS\system32\845.exe','');
 DeleteFile('C:\WINDOWS\system32\422.exe');
 DeleteFile('C:\WINDOWS\system32\530.exe');
 DeleteFile('C:\WINDOWS\system32\845.exe');
 DeleteFile('C:\System Volume Information\_restore{B59051F6-B3D1-4D4C-867B-690D08EC1939}\RP133\A0028788.exe');
BC_ImportAll; 
ExecuteSysClean; 
BC_Activate; 
ExecuteRepair(6); 
ExecuteRepair(8); 
ExecuteRepair(9); 
RebootWindows(true); 
end.

Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
скачайте свежий авптул http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ и им просканировать при удалённом антивирусе.

Сделайте повторные логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\иван\рабочий стол\новая папка\enter.jar - Trojan-SMS.J2ME.Swapi.gen (DrWEB: archive: Java.SMSSend.1)
  2. c:\windows\system32\system.exe - Trojan.Win32.Agent.bssn (DrWEB: Win32.HLLW.Autoruner.6372)