Добрый день !
Прошу оказать помощь в отыскании зловреда:
При запуске IE выпадает окно предупреждения NOD32,
файл: http//sti-motor.ru/wagner/system.exe
вирус: Win32/spy.Agent.PZ троян
Файлы тестов прилагаю.
Добрый день !
Прошу оказать помощь в отыскании зловреда:
При запуске IE выпадает окно предупреждения NOD32,
файл: http//sti-motor.ru/wagner/system.exe
вирус: Win32/spy.Agent.PZ троян
Файлы тестов прилагаю.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\spool32.exe'); QuarantineFile('c:\windows\system32\spool32.exe',''); DeleteFile('c:\windows\system32\spool32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36639
3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сердце решает кого любить... Судьба решает с кем быть...
Вирус пока живой, у меня тоже было подозрение на spool.exe
Спасибо.
Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью AVPTool и повторите логи...
Сердце решает кого любить... Судьба решает с кем быть...
Проделал все выше указанное, обнаружилось десятка полтора вирусов, успешно удалены.
Причина осталась, зловред жив. Есть еще мысли? Предупреждение появляется в основном только при открытии первого окна, или если все окна IE закрыть, а потом открыть (в первом всегда выскакивает).
Где AVPTool нашел вирусы?
1. Выполните скрипт в AVZ:
2. Повторите логи AVZ.Код:begin SetAVZPMStatus(true); RebootWindows(true); end.
Сердце решает кого любить... Судьба решает с кем быть...
Добрый день !
AVPTool нашел вирусы:
1. в карантине AVZ
2. во временных файлах IE, хотя папка пуста
3. в папке C:\WINDOWS\system32
разномастные троян
Ничего зловредного в логах нет.
spool32.exe - Trojan.Win32.Monder.aaxz
Остались ли какие-нибудь проблемы?
Сердце решает кого любить... Судьба решает с кем быть...
Да Александра, тоже самое Nod32, при каждом первичном запуске IE, предупреждает, вот записи которые он сохраняет в логе вирусов:
03.01.2009 11:40:12 IMON sti-мotor.ru/wagner/system.exe модифицированный Win32/Spy.Agent.PZ троян
http// - стер, а то ссылка наверно на вирус.
Последний раз редактировалось Foxcub; 03.01.2009 в 11:55. Причина: ссылка
Активного зловреда в логах не видно в явном виде...
Пока скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Я пока вынесу Вашу тему на обсуждение. Пожалуйста, зайдите на форум вечером.
Сердце решает кого любить... Судьба решает с кем быть...
Александра, лог сохранил:
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\WebMoney Keeper\WMClient20.dll',''); DeleteFile('C:\Program Files\Common Files\WebMoney Keeper\WMClient20.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Странно, но факт, помогло - файл от 2004 года, проблема появилась в конце 2008. Всем огромное спасибо. Узнал много нового. Сейчас все хорошо !!! Карантин отправил.
Последний раз редактировалось Foxcub; 03.01.2009 в 14:08. Причина: Добавил.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\webmoney keeper\\wmclient20.dll - Trojan-PSW.Win32.Agent.lmk (DrWEB: Trojan.PWS.Webmonier.126)
- c:\\windows\\system32\\spool32.exe - Trojan.Win32.Monder.aaxz (DrWEB: Trojan.Inject.5420)
Уважаемый(ая) Foxcub, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.