Показано с 1 по 6 из 6.

Подозрение на Trojan.Win32.Agent.ehk (заявка № 19863)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    42
    Вес репутации
    33

    Exclamation Подозрение на Trojan.Win32.Agent.ehk

    AVZ при сканировании ругаеться на файл basegtg32.dll
    подозрение на троян Trojan.Win32.Agent.ehk, этот файл я просканировал на virustotal, 18 антивирей в этом файле нашли троян, остальные антивири ничего не нашли.
    Кроме basegtg32.dll, есть ещё одна подозрительная длл-ка
    basertf32.dll (avz на неё не ругается) её я так же просканировал virustotal, и снова 10 антивирей обнаружили трояна.
    В моей системе стоит NOD 32 он ничего подозрительного не видит в этих файлах.
    Я удалил эти файлы, в результате винда перестала грузиться вообще.. BSOD c ругательством на basegtg32.dll, пришлось вернуть всё на место..
    Надеюсь на вашу помощь. спасибо
    Последний раз редактировалось dre@mer; 18.08.2008 в 20:13.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    basegtg32.dll и basertf32.dll пришлите по правилам
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19863)

    Выполните скрипт в AVZ:
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    42
    Вес репутации
    33
    Спасибо за помощь!
    Выполнил скрипт, прилагаю новые логи..
    Есть вопрос, после выполнения скрипта файл basegtg32.dll исчез...
    basertf32.dll-присутсвует в системе...
    у меня есть архив карантина где находятся эти файлы (создал до выполнения скрипта)
    соответственно могу прислать оба файла сохранённых до выполения скрипта, или один basertf32.dll после выполнения скрипта..
    что прислать?
    Спасибо.
    Последний раз редактировалось dre@mer; 18.08.2008 в 20:13.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Пришлите оба файла.
    2. basertf32.dll в системе не задействован, пусть пока полежит, сначала на него посмотрим.
    3. В логах ничего подозрительного больше нет.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    42
    Вес репутации
    33
    Спасибо!

    Архив с двумя файлами отправил, по правилам...

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    По сообщению от ЛК, basertf32.dll добавлен в базы под именем Trojan.Win32.Agent.icm. Удаляйте смело.
    I am not young enough to know everything...

  • Уважаемый(ая) dre@mer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. подозрение на Trojan-Dropper.Win32.Agent.afvp
      От VolfNT в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.08.2009, 11:08
    2. Ответов: 12
      Последнее сообщение: 05.08.2009, 00:28
    3. подозрение на Trojan.Win32.Agent.cid
      От LoMo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:04
    4. Трафик. Подозрение на Trojan-Dropper.Win32.Agent.afvt
      От gsnake в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.02.2009, 14:51
    5. Подозрение на Trojan-Downloader.Win32.Agent.alu
      От gorvit82 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 19.04.2007, 00:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01288 seconds with 19 queries