Trojan.Win32.Agent.asu в файле protect.sys

[walddiver]

компьютер перезагружается сам. симантек корпорэйт 10 и DRWEB cureit лечат, но после перезагрузки вирус там же.
он же HACKTOOL.ROOTKIT
нод32 вообще его не видит
при каждом запуске вылезает окно СИСТЕМА ВОССТАНОВЛЕНА ПОСЛЕ СЕРЬЕЗНОЙ ОШИБКИ

[PavelA]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('protect.sys','');
 QuarantineFile('c:\windows\system32\msvcrtd.exe','');
 QuarantineFile('C:\WINDOWS\system32\runonce.dll','');
 BC_DeleteFile('C:\WINDOWS\system32\runonce.dll');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки.
Прислать карантин согласно приложения 3 правил .

[walddiver]

сделал

[moderated запрошенные файлы присылать согласно приложения 3 правил]

[PavelA]

сделал

Карантина ни вижу

[walddiver]

по ссылке закачал virus.zip
Файл сохранён как 070906_063341_virus_46dfe5957305a.zip

симантек и drweb cureit больше ничего ненаходят
спасибо огромное PavelA

[Shu_b]

попавшие в карантин:
C:\WINDOWS\system32\runonce.dll, c:\windows\system32\msvcrtd.exe

Код:

 Scan taken on 06 Sep 2007 11:33:44 (GMT)
A-Squared 	Found Trojan.Win32.Agent.aqo
AntiVir 	Found TR/Agent.aqo.63, BDS/Agent.bew.1
ArcaVir 	Found Heur.W32
Avast 	Found nothing
AVG Antivirus 	Found nothing
BitDefender 	Found nothing
ClamAV 	Found nothing
CPsecure 	Found nothing
Dr.Web 	Found nothing
F-Prot Antivirus 	Found W32/Trojan.BXFW
F-Secure Anti-Virus 	Found Trojan.Win32.Agent.aqo, Backdoor.Win32.Agent.bew
Fortinet 	Found W32/Agent.AQO!tr
Kaspersky Anti-Virus 	Found Trojan.Win32.Agent.aqo, Backdoor.Win32.Agent.bew
NOD32 	Found nothing
Norman Virus Control 	Found W32/Agent.CDLT
Panda Antivirus 	Found Trj/SmallProxy.AB
Rising Antivirus 	Found nothing
Sophos Antivirus 	Found Mal/Generic-A
VirusBuster 	Found nothing
VBA32 	Found Trojan.Win32.Agent.aqo

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\msvcrtd.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи....

[Bratez]

Пофиксите, если осталось:

Код:

O20 - AppInit_DLLs: runonce.dll

[walddiver]

пофиксил
сделал логи

[V_Bond]

выполните скрипт ....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\runonce.dll');
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи AVZ...

[PavelA]

А в Hijacke не видно runonce.dll.

[walddiver]

вот
в Hijacke runonce.dll непоказывает
антивирусы больше неругаются
перезагрузки и окно об ошибке ушли

[V_Bond]

теперь в логах ничего подозрительного ....
что из этого вы используете ?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[walddiver]

комп не мой сетевой рабочий
на нём работает человек, которому права админа выданы по причине принадлежности к боссам
вот вирья в инете и наловили
используется LANDesk для удаленного управления
доступ к дискам по паролю админа
терминалка нужна
остальное пофиксю))
всем спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\msvcrtd.exe - Backdoor.Win32.Agent.bew (DrWEB: Trojan.Packed.170)
  2. c:\\windows\\system32\\runonce.dll - Trojan.Win32.Agent.aqo (DrWEB: Trojan.KillProc.1539)