Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 49.

Win32/TrojanDownloader.Agent.BRK (заявка № 12275)

  1. #1
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61

    Thumbs up Win32/TrojanDownloader.Agent.BRK

    Помогите , пожалуйста, избавится от вируса! NOD32 определяет его как Win32/TrojanDownloader.Agent.BRK, при этом в корне диска C: постоянно появляются файлы без расширения с именен состоящим из цифр размером 0 байт.
    Последний раз редактировалось goof; 20.03.2008 в 13:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mstscex.dll','');
     QuarantineFile('C:\Documents and Settings\Goof\svchost.exe','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
     DeleteFile('c:\windows\system32\drivers\svchost.exe');
     DeleteFile('C:\Documents and Settings\Goof\svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12275

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    что из этого вам нужно?остальное поправим
    > разрешена потенциально опасная служба TlntSvr (Telnet)
    >> разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Последний раз редактировалось drongo; 08.09.2007 в 12:10. Причина: Добавил mstscex.dll

  4. #3
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    что из этого вам нужно?остальное поправим
    Цитата разрешена потенциально опасная служба TlntSvr (Telnet)
    >> разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    вроде бы ничего не нужно, кроме планировщика заданий. а что нужно сделать, чтобы отключить эти службы?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от goof Посмотреть сообщение
    вроде бы ничего не нужно, кроме планировщика заданий. а что нужно сделать, чтобы отключить эти службы?
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    RebootWindows(true);
    end.
    но это так, на десерт, надо сначала выполнить что указали . у вас скорее вирус, даже winlogon патчили.

  6. #5
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    я сделал всё как вы сказали, теперь всё должно быть в порядке или что-то еще необходимо предпринять?

    у вас скорее вирус, даже winlogon патчили.
    и что мне с этим делать?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от goof Посмотреть сообщение
    я сделал всё как вы сказали, теперь всё должно быть в порядке или что-то еще необходимо предпринять?



    и что мне с этим делать?
    Диск с XP имеется ?

  8. #7
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    да, конечно

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    winlogon.exe действительно патченный (Trojan.Win32.Patched.q).
    Возможные варианты:
    а) взять установочный диск Windows XP, загрузить консоль восстановления и заменить c:\windows\system32\winlogon.exe.
    б) если с этим затрудняетесь, установите пробную версию антивируса Касперского, он это умеет лечить.

    .
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    попробую через консоль восстановления, потом отпишусь.
    кроме этого ничего делать не нужно?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    в этот раз пролечить 7 каспером не удалось, наверное не добавили алгоритм для вашего экземпяра.нажимаю лечить вирус, а потом он говорит только удалить ;(
    из присланного:

    Trojan.Win32.Patched.q
    вирус Packed.Win32.PolyCrypt.d

    Добавлено через 58 секунд

    После восстановления оригинальных файлов, сделать новые логи и прикрепить к теме, посмотрим результаты

    Добавлено через 2 минуты

    я бы так сделал, на всякий случай: пуск--выполнить--cmd--sfc /scannow

    так может ещё патченные найдутся

    Добавлено через 14 минут

    C:\WINDOWS\system32\mstscex.dll -в карантин не попал(поспешили видать с выполнением), в ручную поместить и прислать по пункту 2 правил.
    Последний раз редактировалось drongo; 08.09.2007 в 13:07. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    мне не удается запустить консоль восстановления системы! если другой способ заменить winlogon.exe?
    выполнение команды sfc /scannow никаких результатов не дало, как их можно посмотреть?
    C:\WINDOWS\system32\mstscex.dll высылал

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    copy D:\1386\winlogon.ex_ C:\windows\system32\winlogon.exe /y


    вместо D, заменить от вашего СД, где диск с ХП положили

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Можно попробовать так:
    1. В дистрибутиве находим файл winlogon.ex_
    2. Переименовываем его в winlogon.zip
    3. Распаковываем архиватором (например: C:\winlogon.exe)
    4. В AVZ выполняем скрипт:
    Код:
    begin
    BC_CopyFile('C:\winlogon.exe','c:\windows\system32\winlogon.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    drongo, D:\1386\winlogon.ex_ вроде упакованный.
    The worst foe lies within the self...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    вот так можно распаковать файл из дистрибутива
    Пуск--выполнить--cmd
    expand x:\i386\winlogon.ex_ y:\windows\system32\winlogon.exe
    x - буква CD, y - буква диска с windows xp

  16. #15
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    вроде бы всё сделал, высылаю логи
    drongo, D:\1386\winlogon.ex_ вроде упакованный.
    действительно упакованный, пришлось восстанавливать систему, но вроде всё обошлось
    Последний раз редактировалось goof; 20.03.2008 в 13:32.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Забавно, похоже ещё троян восстановился, выполнить и прислать.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
    
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.

  18. #17
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    выслал, что дальше?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от goof Посмотреть сообщение
    выслал, что дальше?
    это то что подозревал : троянская программа Trojan.Win32.Pakes.cj (kaspersky)
    лечение:
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R3 - Default URLSearchHook is missing
    O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
    O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
    O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('msupdate');
    BC_Activate;
    RebootWindows(true);
    end.

    Сделать новые логи, как в первом вашем сообщении.
    Последний раз редактировалось drongo; 08.09.2007 в 16:10.

  20. #19
    Junior Member Репутация
    Регистрация
    07.09.2007
    Сообщений
    47
    Вес репутации
    61
    всё сделал, но в HijackThis строчки которые начинаются с O15 после того как пофиксил появляются снова, это нормально? И всё ли теперь в порядке или необходимо еще что-то сделать?

    и еще не могу почему то приложить файл virusinfo_syscure.zip, пишет, что я его уже выкладывал и после выполнения скрипта лог не обновился
    Последний раз редактировалось goof; 20.03.2008 в 13:32.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах чисто...
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(6);
    RebootWindows(true);
    end.
    после попробуйте профиксить... строчки которые начинаются с O15

  • Уважаемый(ая) goof, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Win32/TrojanDownloader.Agent.OCD троян
      От Izzy в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:16
    2. лечение Win32/TrojanDownloader.Agent
      От psihil в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 16.02.2009, 22:09
    3. Win32/TrojanDownloader.Agent.
      От dnk00 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 31.10.2008, 10:50
    4. Win32/TrojanDownloader.Agent.NZM
      От Anton_Petrenko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.09.2008, 15:00
    5. Win32\TrojanDownloader.Agent.DEU
      От konsta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.07.2008, 21:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01543 seconds with 17 queries