Win32: Agent-VGV

[bau666]

Здравствуйте.
При каждом запуске в папке C:\WINDOWS\system32\drivers
антивирус(сначала symantec потом Avast) находит
вирус Win32: Agent-VGV. Файл удаляется, просит перезагрузку и находит заново. Заранее спасибо.

[Rene-gad]

Удалите Симантек, если пользуетесь Авастом или наоборот: 2 Антивируса в системе не нужны.

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\system32\Drivers\Winip30.sys
C:\WINDOWS\System32\Drivers\Winfm42.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.bak

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AppMgmtCFSvcs');
 DeleteService('aspnet_stateNetDDE');
 DeleteService('BITSstisvc');
 DeleteService('ccISPwdSvcCFSvcsSENS');
 DeleteService('CiSvcNla');
 DeleteService('CFSvcsUPS');
 DeleteService('CFSvcsSENS');
 DeleteService('helpsvcSAVScanupnphost');
 DeleteService('EvtEngSAVScan');
 DeleteService('ekrnSharedAccess');
 DeleteService('DefWatchDefWatch');
 DeleteService('SwPrvAlerter');
 DeleteService('stisvcSNDSrvcPolicyAgent');
 DeleteService('SNDSrvcPolicyAgent');
 DeleteService('SharedAccessSENS');
 DeleteService('SENS Core LC');
 DeleteService('SAVScanupnphost');
 DeleteService('WebClientFastUserSwitchingCompatibility');
 DeleteService('UPSCFSvcsUPS');
 DeleteService('TODDSrvNetDDEdsdmCiSvc');
 DeleteService('TODDSrvNetDDEdsdm');
 DeleteService('SymantecUPS');
 DeleteService('Winip30');
 DeleteService('Winfm42');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); 
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winip30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm42.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfm42.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winip30.sys');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('aspnet_stateNetDDE');
 BC_DeleteSvc('BITSstisvc');
 BC_DeleteSvc('ccISPwdSvcCFSvcsSENS');
 BC_DeleteSvc('CiSvcNla');
 BC_DeleteSvc('CFSvcsUPS');
 BC_DeleteSvc('CFSvcsSENS');
 BC_DeleteSvc('helpsvcSAVScanupnphost');
 BC_DeleteSvc('EvtEngSAVScan');
 BC_DeleteSvc('ekrnSharedAccess');
 BC_DeleteSvc('DefWatchDefWatch');
 BC_DeleteSvc('SwPrvAlerter');
 BC_DeleteSvc('stisvcSNDSrvcPolicyAgent');
 BC_DeleteSvc('SNDSrvcPolicyAgent');
 BC_DeleteSvc('SharedAccessSENS');
 BC_DeleteSvc('SENS Core LC');
 BC_DeleteSvc('SAVScanupnphost');
 BC_DeleteSvc('WebClientFastUserSwitchingCompatibility');
 BC_DeleteSvc('UPSCFSvcsUPS');
 BC_DeleteSvc('TODDSrvNetDDEdsdmCiSvc');
 BC_DeleteSvc('TODDSrvNetDDEdsdm');
 BC_DeleteSvc('SymantecUPS');
 BC_DeleteSvc('Winip30');
 BC_DeleteSvc('Winfm42');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[bau666]

сделал

[Rene-gad]

А кто Антивирус выключать должен?

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('W32TimeNtLmSsp');
 DeleteService('AppMgmtCFSvcs');
ExecuteSysClean;
 BC_DeleteSvc('W32TimeNtLmSsp');
 BC_DeleteSvc('AppMgmtCFSvcs');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.

[bau666]

прошу прощения, пришлось его снести

[Rene-gad]

прошу прощения, пришлось его снести

Это Вы погорячились - достаточно было выключить службы.
В логах ничего плохого.
Сервис Пак 3 нужно поставить.

[bau666]

Службы отключил - AVZ все равно ругался)

Спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\winip30.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.x (DrWEB: Trojan.DownLoad.3503)