Показано с 1 по 17 из 17.

Trojan.Win32.Agent.afg (заявка № 10908)

  1. #1
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    7
    Вес репутации
    35

    Exclamation Trojan.Win32.Agent.afg

    AVZ находит файл в C:\Windows\System32\*.dll, на который говорит, что Trojan.Win32.Agent.afg

    Я его удаляю, но файл появляется снова уже с другим именем. Логи класть бессмысленно, т.к. там больше ничего нет толкового.

    Еще он прописывает свою DLL'ку в SPI/LSP. Там я тоже исправляю все (либа AVZ говорю, чтобы он сам сделал исправления, либо руками), но это не помогает.

    Как с ним бороться? На www.viruslist.ru инфы по нему нет.
    Вложения Вложения
    Последний раз редактировалось Макcим; 09.07.2007 в 15:04.

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\zcvwbar.dll','');
     QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
     DeleteFile('C:\WINDOWS\system32\zcvwbar.dll');
     DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteRepair(14);
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Дополнительно: эта утилита winsockxpfix сбрасывает настройки сети.
    Перед ее применением их желательно запомнить/записать
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    7
    Вес репутации
    35
    Загрузил
    Результат загрузки
    Файл сохранён как 070709_161802_virus_4692277a5f4e0.zip
    Размер файла 105294
    MD5 ebf5e39b9999e09a0ebe16d76cc3cc41

    Только файл zcvwbar.dll теперь назыывается syoewefsrtobq.dll

    Каспером и AVZ они (zcvwbar.dll, syoewefsrtobq.dll и др. (это один и тот же файл, просто когда его удаляешь, то после перезагрузки создается новый и с другим именем)) определяется как Trojan.Win32.Agent.afg

    Добавлено через 1 минуту
    Использовать WinSockFix не пришлось, все и так работает.
    Последний раз редактировалось Angel 2S2; 09.07.2007 в 16:22. Причина: Добавлено сообщение

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    У Вас есть расшареные паки, диски? Файрвол на компьютере установлен?
    Просканируйте компьютер Касперским в безопасном режиме.

  7. #6
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    7
    Вес репутации
    35
    HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Я это уже не один раз видел на разных компах, но никак не могу понять, что это такое?

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Создается при падении Windows.

  9. #8
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    7
    Вес репутации
    35
    Цитата Сообщение от Maxim Посмотреть сообщение
    У Вас есть расшареные паки, диски? Файрвол на компьютере установлен?
    Просканируйте компьютер Касперским в безопасном режиме.
    Папки расшаренные есть. Файрвол только на NAT сервере. (Это все на работе)

    Каспера поставить не могу из-за отсутствия лицензий (начальство пока не готово закупать антивири, вот руками их и ловлю). А AVP-OnLine в безопасном кажется не заработает. Если только AVZ или CureIT.

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от Angel 2S2 Посмотреть сообщение
    Папки расшаренные есть.
    Вот он к Вам и лезет через папки...
    Цитата Сообщение от Angel 2S2 Посмотреть сообщение
    Каспера поставить не могу из-за отсутствия лицензий (начальство пока не готово закупать антивири, вот руками их и ловлю).
    Поставьте пробную версию, иначе мы "ручками" долго будем его ловить.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Восстановление системы нужно отключить!!
    Корзину почистить.
    Подозреваю, что тут еще замешан файловый вирус. Надо скачать [b]Cure-It от Dr.Web[b]
    и проверить в безопасном режиме ВЕСЬ диск, а не только экспресс-проверку.
    На всякий пожарный может пригодиться Look2me-destroyer
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    7
    Вес репутации
    35
    Вот он к Вам и лезет через папки...
    Но откуда? Он не у меня, а у юриста. Больше его нигде нет.

    Добавлено через 50 секунд
    Щас в безопасном проверю систему.
    Последний раз редактировалось Angel 2S2; 09.07.2007 в 16:43. Причина: Добавлено сообщение

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    корзину пока не чистите!!!
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    7
    Вес репутации
    35
    корзину пока не чистите!!!
    ОК

    Если не сложно, называйте меня на ТЫ (для всех). Не привык на ВЫ.

    Добавлено через 35 минут
    2 BackDoor.Voqa, которые я сам ставил. Вообщем это клиентская часть утилиты для удаленного администрирования Poison Ivy.

    Trojan.Packed.76 (C:\WINDOWS\nqha.exe)

    Удалил. AVZ ничего не нашел, кроме ошибок в SPI/LSP. Их я исправил, срадствами AVZ.

    После перезагрузки AVZ опять нашел этот же троян, в этом же месте, но с другим именем. Т.ж. в SPI/LSP опять добавились записи трояна.
    Последний раз редактировалось Angel 2S2; 09.07.2007 в 17:25. Причина: Добавлено сообщение

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    По результатам анализа
    avz00001.dta - SpamTool.Win32.Agent.u - новый
    avz00002.dta - Trojan.Win32.Agent.afg
    Кто есть кто не знаю. Думаю, это еще не все.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    7
    Вес репутации
    35
    Что делать?

    Добавлено через 3 минуты
    Я эту систему уже вдоль и поперек вылизал, ничего нет, кроме найденного.
    Но откуда dll'ка появляется после удаления понять не могу никак.
    В автозапуске чисто.
    Даже такие проги как a-squared Free 3.0 и a-squared HiJackFree 3.0.0.385 молчат.
    В AutoRuns от Марка Руссиновича тоже ничего подозрительного не обнаружил.

    Добавлено через 4 минуты
    На всякий пожарный может пригодиться Look2me-destroyer
    Запускаю, а там 2 кнопки и они заблокированы.
    Последний раз редактировалось Angel 2S2; 09.07.2007 в 18:21. Причина: Добавлено сообщение

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Angel 2S2 Посмотреть сообщение
    Запускаю, а там 2 кнопки и они заблокированы
    Ставишь "галочку". Она перестартовывает и можно будет сделать сканирование. Оно не помешает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,548
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\simp_dll.dll - Trojan-Proxy.Win32.Pixoliz.fr (DrWEB: Trojan.Spambot)
      2. c:\\windows\\system32\\syoewefsrtobq.dll - Trojan.Win32.Msnetax.d (DrWEB: Trojan.Netqv)


  • Уважаемый(ая) Angel 2S2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 25.01.2011, 17:10
    2. Ответов: 9
      Последнее сообщение: 09.10.2010, 13:31
    3. Ответов: 10
      Последнее сообщение: 06.10.2010, 23:31
    4. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
      От alexm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.09.2010, 00:01
    5. Ответов: 1
      Последнее сообщение: 30.06.2009, 08:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00955 seconds with 22 queries