trojan-downloader.Win32.Agent variant

[Андрей33регион]

Доброй ночи!

Буду краток. Запускаю WoW - пишет обнаружен trojan-downloader.Win32.Agent variant. Проверял не однократно вебером, удалил с десяток троянов, но проблема осталась. + качает трафик. Вернее сказать пожирает. Произвел все описанные Вами операции, прикрепил файлы. Прошу помогите.
Мм.. фаилы из п.8 в папке LOG не в ZIP архиве и не прикрепляються. Комп новый архиваторов нет. Как то можно выйти и из этой проблемы?

[wise-wistful]

в папке LOG есть avz_sysinfo.htm и virusinfo_syscure.htm? Их выложите на файлообменник какой-нибудь, а нам тут ссылку дайте.

[Андрей33регион]

в папке LOG есть avz_sysinfo.htm и virusinfo_syscure.htm? Их выложите на файлообменник какой-нибудь, а нам тут ссылку дайте.

Вот ссылка. http://dvusrachek.ifolder.ru/6039262, http://dvusrachek.ifolder.ru/6039278, http://dvusrachek.ifolder.ru/6039294, http://dvusrachek.ifolder.ru/6039300,-4 файла папки LOG. Надеюсь все так сделал. Пока проделывал все эти операции Вебер поймал пару троянов, щас трафик ведет себя спокойно.

[Гриша]

Отключите Антивирус и Интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
TerminateProcessByName('c:\windows\aromis.exe');
QuarantineFile('kdubr.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\titac.dll','');
QuarantineFile('C:\WINDOWS\system32\ftp33.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\aromis.exe','');
DeleteFile('c:\windows\aromis.exe');
DeleteService('Schedule');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('kdubr.exe');
DeleteFile('C:\WINDOWS\system32\ftp33.dll');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21089

Повторите логи.

Добавлено через 2 часа 1 минуту

cftmon.exe1, cftmon.exe_, ftp33.dll, spools.exe_-Trojan-Downloader.Win32.Small.tra

kdubr.exe_ - Trojan.Win32.DNSChanger.bux

[Андрей33регион]

Спасибо за помощь. Еще вопрос как бы эти файлы отыскать? Через поиск не выходит. И можно ли просто удалить эти файлы?

[Гриша]

Что вы собрались искать?нужно просто выполнить скрипт,а затем повторить логи.

Это вам известно:

Код:

NameServer = 85.255.116.110,85.255.112.108

[Андрей33регион]

Что вы собрались искать?нужно просто выполнить скрипт,а затем повторить логи.

Это вам известно:

Код:

NameServer = 85.255.116.110,85.255.112.108

Все сделал. Логи вложил. На счет выше указанного - это мне не известно.

[Андрей33регион]

Трафик до сих пор в порядке. Только что пробывал WoW - сообщение исчезло.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('grande48');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('grande48 ');    
BC_Activate;
RebootWindows(true);
end.

Пофиксить

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
O17 - HKLM\System\CS3\Services\Tcpip\..\{31B57651-F54C-4502-B978-1C92AA72C07B}: NameServer = 85.255.116.110,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108

Жалобы есть?

[Андрей33регион]

Снова, здравствуйте. )
Жалоб на данный момент нет. Все вроде бы отлично работает. Надеюсь так будет и в дальнейшем.
Первый раз столкнулся с подобной проблемой, долго искал помощи, уже было хотел от форматировать все к чертям и вот совершенно случайно вышел на Вас.
Спасибо, спасибо и еще раз спасибо!

[Гриша]

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 42
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\localservice\\cftmon.exe - Worm.Win32.Socks.jf (DrWEB: Trojan.DownLoader.56633)
  2. c:\\documents and settings\\администратор\\cftmon.exe - Trojan-Downloader.Win32.Small.tra (DrWEB: Trojan.DownLoader.56633)
  3. c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.jf (DrWEB: Trojan.DownLoader.56633)
  4. c:\\windows\\system32\\ftp33.dll - Trojan-Downloader.Win32.Small.tra (DrWEB: Trojan.DownLoader.56634)
  5. c:\\windows\\system32\\kdubr.exe - Trojan.Win32.DNSChanger.bux (DrWEB: Trojan.DnsChange)