Показано с 1 по 12 из 12.

Видимо это Win32:Agent-VGV [Wrm] (заявка № 27872)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    15
    Вес репутации
    33

    Thumbs up Видимо это Win32:Agent-VGV [Wrm]

    Утилита от DrWeb обнаруживает только производный троян, самого родителя не видит.
    Домашняя версия Avast при старте сообщает о вирусе в памяти Win32:Agent-VGV [Wrm], предлагает его удалить, но при следующем старте опять то же самое.

    Файлы согласно правилам приложил.

    Помогите, пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите восстановление системы,антивирус и интернет!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\Winwa43.sys','');
     DeleteService('Winwa43');
     DeleteService('Winvg20');
     DeleteService('Winvg10');
     DeleteService('Wintg01');
     DeleteService('Winri10');
     DeleteService('Winey30');
     DeleteService('Winam54');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winwa43.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winvg20.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winvg10.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wintg01.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winri10.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winey30.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winam54.sys','');
     DeleteService('ethijxps');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethijxps.sys','');
     DeleteService('WZCSVCsrservice');
     DeleteService('SysmonLogSNMPTRAP');
     DeleteService('SQLWriterWebClientSQLBrowser');
     DeleteService('SQLWriterWebClient');
     DeleteService('ScheduleDnscache');
     DeleteService('RDSessMgrp2pgasvc');
     DeleteService('InterBaseGuardianNetlogonRemoteRegistry');
     DeleteService('InterBaseGuardianNetlogon');
     DeleteService('COMSysAppSharedAccess');
     DeleteService('BrowserRDSessMgr');
     DeleteService('AppMgmtMSMQ');
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ethijxps.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winam54.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winey30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winri10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintg01.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvg10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvg20.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winwa43.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\Winwa43.sys');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    15
    Вес репутации
    33
    Все выполнил. Только АВАСТ не смог полностью снять. Выполнил для него команду "Остановить сканер доступа".

    Логи приложил.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
     DeleteService('Winwb75');
     DeleteService('Winoh75');
     DeleteService('Winju22');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winju22.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winoh75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwb75.sys');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('Winwb75');
    BC_DeleteSvc('Winoh75');
    BC_DeleteSvc('Winju22');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин и повторите логи с п.10 правил...

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    15
    Вес репутации
    33
    Карантин отправил. Лог сбора информации приложил.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пришлите вот этот файлик ntkrnlpa.exe согласно приложению 2 правил...

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    15
    Вес репутации
    33
    Выполнил действия согласно приложению 2. Однако, после выполнения команды "Добавить в карантин по списку" в окне "Протокол" было вот что:
    Ошибка карантина файла, попытка прямого чтения (ntkrnlpa.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ntkrnlpa.exe)
    Карантин с использованием прямого чтения - ошибка

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    C:\WINDOWS\ntkrnlpa.exe путь точно такой?пойщите его руками,запакуйте с паролем "virus" и загрузите по ссылке вверху страницы...

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    15
    Вес репутации
    33
    Нашлось два файла. Оба отправил с карантином. Только у меня нет архиватора, поэтому пакую просто средствами Windows без пароля.

    1) Первый файл в каталоге:
    C:\WINDOWS\system32\

    2) Второй файл в каталоге:
    C:\WINDOWS\Driver Cache\i386\sp2.cab
    Этот файл я поместил в архив с именем ntkrnlpa2.exe

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Файл чистый,жалобы есть?

  12. #11
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    15
    Вес репутации
    33
    Цитата Сообщение от Гриша Посмотреть сообщение
    Файл чистый,жалобы есть?
    Визуально нет. Все признаки, которые наблюдались, теперь отсутствуют. Спасибо!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,547
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) technos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Видимо словил IRC-Worm.Win32
      От shyp117 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.03.2012, 21:39
    2. Видимо, Trojan.Win32.Qhost.wtn
      От Hetzer в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.11.2011, 20:49
    3. Снова Trojan.Win32.Ddox.ci но видимо новая версия
      От xxxman6666 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.04.2011, 10:52
    4. 4 компTrojan-Spy.Win32.Zbot.zzj видимо
      От SlyAss в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.08.2009, 15:10
    5. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01354 seconds with 21 queries