Показано с 1 по 4 из 4.

TR/Agent.25600 not to remove

  1. #1
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    2
    Вес репутации
    58

    TR/Agent.25600 not to remove

    Hi together,
    I have an infected Notebook, the TR/Monder I've got killed, but the above TR/Agent is bringing me to hell.
    In IE 7.0 the cookies goes down to "accept all" and the name of the infected file will be new after a restart with deleting an infected file booting from a Linux-rescue-CD.
    System WinXP Home, Updates on top except SP3, Antivir update steady till today, nothing in the past known as Virus..
    Attached are my logfiles from AVZ and HiJackThis
    If you can tell me the way to kick off the "Agent" I thx in advance.

    Greets
    Norbert

    moderated:::Bitte uploade Quarantдne _cure.zip nur ьber den roten Link oben auf der Seite.
    Diesmal habe ich das fьr Dich erledigt
    Upload result
    File saved as 080626_022451_virusinfo_cure_48634443d8cd7.zip
    File size 104745
    MD5 0e303fd6cef90c85c55eb58e5e48b673

    EDIT: Upps, sorry
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.06.2008 в 11:25.

  2. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Hallo Norbert
    Schalte PC vom Internet ab
    Schalte Antivirus ab
    Schalte Systemwiederherstellung ab
    Fixe mit Hijackthis
    Код:
    O2 - BHO: (no name) - {275E5BCB-8ECC-4D36-8066-4342D8B05883} - C:\WINDOWS\system32\xxyyyYsT.dll
    O2 - BHO: (no name) - {BE7E4CE1-8CBA-44A6-956F-462A667D3286} - C:\WINDOWS\system32\urqOGARH.dll
    O20 - Winlogon Notify: urqOGARH - C:\WINDOWS\SYSTEM32\urqOGARH.dll
    Führe das Script aus
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True); 
     DeleteService('iMSPCLOj');
     DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
     RegKeyDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {BE7E4CE1-8CBA-44A6-956F-462A667D3286}',' '); 
     RegKeyDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, BM251a25c3',' ');
     RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUmlmNF, DLLName',''); 
     RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqOGARH, DLLName',''); 
     QuarantineFile('C:\WINDOWS\system32\efcCvVmJ.dll','');
     QuarantineFile('C:\DOKUME~1\Kim\LOKALE~1\Temp\iMSPCLOj.sys','');
     QuarantineFile('wvUmlmNF.dll','');
     QuarantineFile('urqOGARH.dll','');
     QuarantineFile('appmgmts.dll','');
     QuarantineFile('C:\WINDOWS\system32\ssnwvyxb.dll','');
     QuarantineFile('C:\WINDOWS\system32\urqOGARH.dll','');
     QuarantineFile('C:\WINDOWS\system32\xxyyyYsT.dll','');
     QuarantineFile('C:\WINDOWS\system32\fpecdmxc.dll','');
     DelBHO('{538fb07a-7413-453a-947f-5d28ce377494}');
     DelBHO('{9B09908A-E215-4E28-AA3F-343B646CBDD5}');
     DelBHO('{BE7E4CE1-8CBA-44A6-956F-462A667D3286}');
     DelBHO('{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe','');
     DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe');
     DeleteFile('F:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\fpecdmxc.dll');
     DeleteFile('C:\WINDOWS\system32\xxyyyYsT.dll');
     DeleteFile('C:\WINDOWS\system32\urqOGARH.dll');
     DeleteFile('urqOGARH.dll');
     DeleteFile('wvUmlmNF.dll');
     DeleteFile('C:\WINDOWS\system32\ssnwvyxb.dll');
     DeleteFile('C:\DOKUME~1\Kim\LOKALE~1\Temp\iMSPCLOj.sys');
     DeleteFile('C:\WINDOWS\system32\efcCvVmJ.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Nach dem Neustart leere alle Temp-Ordner, Papierkorb, Browser Cache etc. (mit CCLeaner od. ClearProg - googlen, um zu finden).
    Uploade die Quarantäne über den roten Link oben an der Seite.
    Wiederhole die Logfiles.

  3. #3
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    2
    Вес репутации
    58
    Hi Rene,
    hier die Ergebnisse der letzten Aktion. Ich denke mal ich bin ihn los so wie es meiner Ansicht nach aussieht.
    Aber wenn Du noch mal Dein prьfendes Auge drauf werfen kannst dann bin ich doch wesentlich ruhiger...

    Danke im Voraus
    Viele GrьЯe
    Norbert
    Вложения Вложения

  4. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Hi
    je nach Lust und Laune kannst Du noch diese Datei entfernen
    Код:
    C:\WINDOWS\system32\shdocvw.bak
    Es dьrfte kein Problem sein
    Auch sehr ratsam wдre, SP3 aufzuspielen.
    Lade noch Malwarebytes herunter und mache damit einen Kontrolle-Scan.
    Bei den Funden bitte den Log verzippen und hier anheften.
    PS: Wenn Du einen Thread im Avira-Forum geцffnet hast, bitte melde Dich auch dort.
    Последний раз редактировалось Rene-gad; 26.06.2008 в 15:30.

Похожие темы

  1. На всех сьемных дисках появляется файл autorun.inf (заявка №25600)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 3
    Последнее сообщение: 27.08.2010, 06:01
  2. help me to remove
    От kanchana Athukorala в разделе Malware Removal Service
    Ответов: 2
    Последнее сообщение: 19.06.2010, 11:54
  3. how i can remove
    От juliett в разделе Malware Removal Service
    Ответов: 2
    Последнее сообщение: 04.03.2010, 13:14
  4. How to remove PAV??
    От Nona в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 03.05.2009, 03:04
  5. add/remove
    От vors.destruct в разделе Malware Removal Service
    Ответов: 3
    Последнее сообщение: 15.07.2008, 20:18

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00719 seconds with 18 queries