Junior Member
Вес репутации
59
Вирус Trojan-Downloader.Win32!
Здравствуйте! Прошу вашей помощи, залез вирус, а верней троянская программа Trojan-Downloader.Win32.Agent, которая не дает мне покоя, уже 6 месяцев! Мой ативирусник, находит его, но вылечить не может. Суть проблемы, глючит и долго выхожу в инет, много чего не могу скопировать с носителей. Мой друг, посоветовал ваш сайт, если будет возможность, я буду очень признателен.
Заранее благодарю
С уважением,
carbon studio
Вложения
Последний раз редактировалось Макcим; 19.02.2008 в 17:39 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Uaf27.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Nty16.sys','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr27.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Afk40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Afk05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipu41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ejo84.sys','');
QuarantineFile('C:\WINDOWS\Ipu41.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo84.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Ejo84.sys');
DeleteFile('C:\WINDOWS\Ipu41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipu41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Afk05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Afk40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gmr27.sys');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nty16.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Uaf27.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\autorun.exe');
BC_ImportALL;
BC_DeleteSvc('Ejo84');
BC_DeleteSvc('Ipu41');
BC_DeleteSvc('Gmr27');
BC_DeleteSvc('Nty16');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Uaf27');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Junior Member
Вес репутации
59
Спасибо за оперативность!! Переделал!!
Вложения
отключите восстановление системы ....
выполните срипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ipu41\0000', 'CSConfigFlags', '1');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ejo84\0000', 'CSConfigFlags', '1');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ejo84.sys');
BC_DeleteFile('C:\WINDOWS\Ipu41.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ejo84.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ipu41.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk05.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk40.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gmr27.sys');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Nty16.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Uaf27.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\autorun.exe');
DeleteFile('WLCtrl32.dll');
BC_DeleteSvc('Uaf27');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Nty16');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('Gmr27');
BC_DeleteSvc('Afk40');
BC_DeleteSvc('Afk05');
BC_DeleteSvc('Ipu41');
BC_DeleteSvc('Ejo84');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 15 В ходе лечения обнаружены вредоносные программы:
c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp54\\a0056167.sys - Rootkit.Win32.Agent.jo (DrWEB: Trojan.NtRootKit.404) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp68\\a0067201.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp69\\a0067202.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp69\\a0067203.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp69\\a0068176.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp69\\a0068177.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp69\\a0068187.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp70\\a0068189.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp70\\a0068191.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\system volume information\\_restore{72a0de5c-7a9c-4808-a4ad-956a5a1751e2}\\rp70\\a0068205.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\windows\\system32\\drivers\\uaf27.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204)