Junior Member
Вес репутации
60
Вирус Trojan-Downloader.Win32
Здравствуйте! Прошу вашей помощи, залез вирус, а верней троянская программа Trojan-Downloader.Win32.Agent, которая не дает мне покоя, уже 6 месяцев! Мой ативирусник, находит его, но вылечить не может. Суть проблемы, глючит и долго выхожу в инет, много чего не могу скопировать с носителей. Мой друг, посоветовал ваш сайт, если будет возможность, я буду очень признателен.
Заранее благодарю
С уважением,
carbon studio
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уж и не знаю, надо ли все это карантинить.
Для начала выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\BN4.tmp','');
BC_DeleteSvc('Ejo84');
BC_DeleteSvc('Afk05');
BC_DeleteSvc('Afk40');
BC_DeleteSvc('Gmr27');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('Ipu41');
BC_DeleteSvc('Nty16');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Uaf27');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
DeleteFile('C:\WINDOWS\system32\autorun.exe');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Uaf27.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nty16.sys');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ipu41.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gmr27.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk40.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk05.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ejo84.sys');
BC_DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить то,что попадет в карантин через ссылку вверху темы.
Сделать новые логи.
Ежели не сработает, то придется откатываться назад. Слишком тут много всякого разного накопили.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
Спасибо за помощь!
Посмотрите,что плучилось!
Вложения
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ejo84');
SetServiceStart('Ejo84', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo84.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Ejo84.sys');
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
DelWinlogonNotifyByKeyname('WLCtrl32');
BC_ImportALL;
BC_DeleteSvc('Ejo84');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Вложения
Карантин, согласно правилам, отправляют вот тут:
http://virusinfo.info/upload_virus.php?tid=18419
а из сообщения его уберите.
Логи сейчас гляну...
I am not young enough to know everything...
Junior Member
Вес репутации
60
Извини,не сообразил!!!!
Спасибо! Все сделал!
Добавлено через 39 секунд
Извините!
Последний раз редактировалось carbon studio; 21.02.2008 в 18:05 .
Причина: Добавлено
Все на месте да еще и mmhren1.exe снова народился...
Выполните такой скрипт:
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ejo84\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Ejo84.sys');
BC_DeleteSvc('Ejo84');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Ejo84.sys');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\mmhren1.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки приложите файл boot_clr.log из папки с AVZ.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Приложить, только этот файл или сделать снова логи???
Junior Member
Вес репутации
60
Вложения
I am not young enough to know everything...
Junior Member
Вес репутации
60
Спасибо!!! Тогда жду следующих указаний!
Похоже, все получилось!
Выполните еще такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
DelWinlogonNotifyByKeyname('WLCtrl32');
DeleteFile('C:\WINDOWS\mmhren1.exe');
ExecuteSysClean;
RebootWindows(true);
end.
и сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Очень долго перезагружался компьютер,это нормально???
Вроде все так сделал!!!!
Спасибо вам!
Вложения
WLCtrl32 на месте, а руткит возродился с новым именем!
Отключите восстановление системы!
Это я проморгал, надо было раньше вам напомнить.
Выполните такой скрипт:
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Hmr73\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Hmr73');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Hmr73.sys');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_Activate;
RebootWindows(true);
end.
После него выбирайте через F8 загрузку в безопасный режим и выполняйте следующий:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Hmr73.sys');
DelWinlogonNotifyByKeyname('WLCtrl32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем делайте новые логи, надеюсь на этот раз победим.
I am not young enough to know everything...
Junior Member
Вес репутации
60
А как отключить восстановление системы???
Панель управления - Система - вкладка Восстанволение системы
I am not young enough to know everything...
Junior Member
Вес репутации
60
Надеюсь,что получилось!!
И надо потом,включать восстановление системы???
Вложения
Junior Member
Вес репутации
60
Жду,что же делать дальше??? наша взяла??
все на месте ....
отключитесь от интернет ... отключите антивирус ...
выполните скрипт ...
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Oty27\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Oty27');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Oty27.sys');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\mmhren1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ....