Junior Member
Вес репутации
59
trojan-downloader.Win32.Agent variant
Доброй ночи!
Буду краток. Запускаю WoW - пишет обнаружен trojan-downloader.Win32.Agent variant. Проверял не однократно вебером, удалил с десяток троянов, но проблема осталась. + качает трафик. Вернее сказать пожирает. Произвел все описанные Вами операции, прикрепил файлы. Прошу помогите.
Мм.. фаилы из п.8 в папке LOG не в ZIP архиве и не прикрепляються. Комп новый архиваторов нет. Как то можно выйти и из этой проблемы?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
в папке LOG есть avz_sysinfo.htm и virusinfo_syscure.htm? Их выложите на файлообменник какой-нибудь, а нам тут ссылку дайте.
Последний раз редактировалось wise-wistful; 06.04.2008 в 04:23 .
Junior Member
Вес репутации
59
Сообщение от
wise-wistful
в папке LOG есть avz_sysinfo.htm и virusinfo_syscure.htm? Их выложите на файлообменник какой-нибудь, а нам тут ссылку дайте.
Вот ссылка. http://dvusrachek.ifolder.ru/6039262 , http://dvusrachek.ifolder.ru/6039278 , http://dvusrachek.ifolder.ru/6039294 , http://dvusrachek.ifolder.ru/6039300 ,-4 файла папки LOG. Надеюсь все так сделал. Пока проделывал все эти операции Вебер поймал пару троянов, щас трафик ведет себя спокойно.
Отключите Антивирус и Интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
TerminateProcessByName('c:\windows\aromis.exe');
QuarantineFile('kdubr.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\titac.dll','');
QuarantineFile('C:\WINDOWS\system32\ftp33.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\aromis.exe','');
DeleteFile('c:\windows\aromis.exe');
DeleteService('Schedule');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('kdubr.exe');
DeleteFile('C:\WINDOWS\system32\ftp33.dll');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21089
Повторите логи.
Добавлено через 2 часа 1 минуту
cftmon.exe1, cftmon.exe_, ftp33.dll, spools.exe_-Trojan-Downloader.Win32.Small.tra
kdubr.exe_ - Trojan.Win32.DNSChanger.bux
Последний раз редактировалось Гриша; 06.04.2008 в 21:47 .
Причина: Добавлено
Junior Member
Вес репутации
59
Спасибо за помощь. Еще вопрос как бы эти файлы отыскать? Через поиск не выходит. И можно ли просто удалить эти файлы?
Последний раз редактировалось Андрей33регион; 06.04.2008 в 21:06 .
Что вы собрались искать?нужно просто выполнить скрипт,а затем повторить логи.
Это вам известно:
Код:
NameServer = 85.255.116.110,85.255.112.108
Junior Member
Вес репутации
59
Сообщение от
Гриша
Что вы собрались искать?нужно просто выполнить скрипт,а затем повторить логи.
Это вам известно:
Код:
NameServer = 85.255.116.110,85.255.112.108
Все сделал. Логи вложил. На счет выше указанного - это мне не известно.
Вложения
Junior Member
Вес репутации
59
Трафик до сих пор в порядке. Только что пробывал WoW - сообщение исчезло.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('grande48');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('grande48 ');
BC_Activate;
RebootWindows(true);
end.
Пофиксить
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
O17 - HKLM\System\CS3\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
Жалобы есть?
Junior Member
Вес репутации
59
Снова, здравствуйте. )
Жалоб на данный момент нет. Все вроде бы отлично работает. Надеюсь так будет и в дальнейшем.
Первый раз столкнулся с подобной проблемой, долго искал помощи, уже было хотел от форматировать все к чертям и вот совершенно случайно вышел на Вас.
Спасибо, спасибо и еще раз спасибо!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 42 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\localservice\\cftmon.exe - Worm.Win32.Socks.jf (DrWEB: Trojan.DownLoader.56633) c:\\documents and settings\\администратор\\cftmon.exe - Trojan-Downloader.Win32.Small.tra (DrWEB: Trojan.DownLoader.56633) c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.jf (DrWEB: Trojan.DownLoader.56633) c:\\windows\\system32\\ftp33.dll - Trojan-Downloader.Win32.Small.tra (DrWEB: Trojan.DownLoader.56634) c:\\windows\\system32\\kdubr.exe - Trojan.Win32.DNSChanger.bux (DrWEB: Trojan.DnsChange)