Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Вирус Trojan-Downloader.Win32 (заявка № 18419)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33

    Exclamation Вирус Trojan-Downloader.Win32

    Здравствуйте! Прошу вашей помощи, залез вирус, а верней троянская программа Trojan-Downloader.Win32.Agent, которая не дает мне покоя, уже 6 месяцев! Мой ативирусник, находит его, но вылечить не может. Суть проблемы, глючит и долго выхожу в инет, много чего не могу скопировать с носителей. Мой друг, посоветовал ваш сайт, если будет возможность, я буду очень признателен.

    Заранее благодарю
    С уважением,
    carbon studio
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Уж и не знаю, надо ли все это карантинить.
    Для начала выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\BN4.tmp','');
     BC_DeleteSvc('Ejo84');
     BC_DeleteSvc('Afk05');
     BC_DeleteSvc('Afk40');
     BC_DeleteSvc('Gmr27');
     BC_DeleteSvc('NDnet1');
     BC_DeleteSvc('Ipu41');
     BC_DeleteSvc('Nty16');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Uaf27');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\mmhren1.exe','');
     QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
     DeleteFile('C:\WINDOWS\system32\autorun.exe');
     DeleteFile('C:\WINDOWS\mmhren1.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Uaf27.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Nty16.sys');
     BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ipu41.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gmr27.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk40.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk05.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ejo84.sys');
     BC_DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
     DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить то,что попадет в карантин через ссылку вверху темы.

    Сделать новые логи.

    Ежели не сработает, то придется откатываться назад. Слишком тут много всякого разного накопили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Спасибо за помощь!
    Посмотрите,что плучилось!
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Ejo84');
     SetServiceStart('Ejo84', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo84.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ejo84.sys');
    RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
    DelWinlogonNotifyByKeyname('WLCtrl32');
    BC_ImportALL;
    BC_DeleteSvc('Ejo84');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    И новые логи!
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Карантин, согласно правилам, отправляют вот тут:
    http://virusinfo.info/upload_virus.php?tid=18419
    а из сообщения его уберите.
    Логи сейчас гляну...
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Извини,не сообразил!!!!
    Спасибо! Все сделал!

    Добавлено через 39 секунд

    Извините!
    Последний раз редактировалось carbon studio; 21.02.2008 в 18:05. Причина: Добавлено

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все на месте да еще и mmhren1.exe снова народился...

    Выполните такой скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ejo84\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Ejo84.sys');
     BC_DeleteSvc('Ejo84');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Ejo84.sys');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\mmhren1.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки приложите файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Приложить, только этот файл или сделать снова логи???

  11. #10
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Выкладываю.
    Вложения Вложения

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пока только этот
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Спасибо!!! Тогда жду следующих указаний!

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Похоже, все получилось!
    Выполните еще такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
    DelWinlogonNotifyByKeyname('WLCtrl32');
    DeleteFile('C:\WINDOWS\mmhren1.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    и сделайте новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Очень долго перезагружался компьютер,это нормально???
    Вроде все так сделал!!!!
    Спасибо вам!
    Вложения Вложения

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    WLCtrl32 на месте, а руткит возродился с новым именем!
    Отключите восстановление системы!
    Это я проморгал, надо было раньше вам напомнить.

    Выполните такой скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Hmr73\0000', 'CSConfigFlags', '1');
     BC_DeleteSvc('Hmr73');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Hmr73.sys');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_Activate;
     RebootWindows(true);
    end.
    После него выбирайте через F8 загрузку в безопасный режим и выполняйте следующий:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Hmr73.sys');
    DelWinlogonNotifyByKeyname('WLCtrl32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Затем делайте новые логи, надеюсь на этот раз победим.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    А как отключить восстановление системы???

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Панель управления - Система - вкладка Восстанволение системы
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Надеюсь,что получилось!!
    И надо потом,включать восстановление системы???
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    33
    Жду,что же делать дальше??? наша взяла??

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    все на месте ....
    отключитесь от интернет ... отключите антивирус ...
    выполните скрипт ...
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Oty27\0000', 'CSConfigFlags', '1');
     BC_DeleteSvc('Oty27');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Oty27.sys');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\mmhren1.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи ....

  • Уважаемый(ая) carbon studio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на вирус Trojan-Downloader.Win32.Geral
      От Taboo в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 01.04.2012, 19:13
    2. вирус win32 trojan downloader.carber.ad
      От alexandr1980 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 10.02.2012, 13:56
    3. Вирус Trojan-Downloader.Win32.Agent.nsl
      От logins в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.03.2009, 14:49
    4. Вирус Trojan-Downloader.Win32!
      От carbon studio в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:00
    5. Вирус Trojan-DownLoader.Win32.Mutant.aim
      От Iksman в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2008, 18:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00246 seconds with 22 queries