лечение Win32/TrojanDownloader.Agent

[psihil]

Здравствуйте помогите вылечить троян Win32/TrojanDownloader.Agent находится в C:\DOCUME~1\psih\LOCALS~1\Temp\E_4\internet.fne

[drongo]

а по моему, где-то ещё тоже

Отключить восстановление системы, антивирус и интернет -подключение.
выполните скрипт@ avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\XP-11078030.EXE','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\memalloc.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
 DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
 DeleteFile('C:\WINDOWS\system32\XP-11078030.EXE');
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(9);
 ExecuteRepair(12);
 ExecuteRepair(13);
 ExecuteRepair(14);
 ExecuteRepair(16);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

-пришлите карантин http://virusinfo.info/upload_virus.php?tid=39768 согласно приложения 3 правил.
-Почистите временные файлы.
-повторите логи

[psihil]

файл отправил, вот логи

[V_Bond]

установите AVZPM , повторите логи ...

[drongo]

ну, как проблемы ?

212.44.130.6- этот IP вам знаком ?
sp3 и остальные заплатки ставить, иначе черви загрызут
у вас случаем spywaredoctor установлен ? mc21.tmp от него обычно.

[psihil]

проблемы прошли, мой нод молчит, а про ip не знаком, спасибо огромное
нет spywaredoctor не установлен

[V_Bond]

проблемы прошли

севетую все же установить авзпм и повторить логи

[drongo]

про ip не знаком, спасибо огромное
нет spywaredoctor не установлен

тогда пофиксить в hijackthis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5ADDB7-A2A8-4177-B97E-EB94BABFF3A7}: NameServer = 212.44.130.6

выполнить скрипт в avz: (это для установки avzpm)

Код:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

и повторить логи как уже сказал V_Bond

[psihil]

..... повторите логи ...

повторил

[V_Bond]

это ваш провайдер ?

formely Sovam Teleport/Teleross
remarks: aka Golden Telecom
address: Krasnokazarmennaja, 12
address: Moscow, Russia

[psihil]

это ваш провайдер ?

formely Sovam Teleport/Teleross
remarks: aka Golden Telecom
address: Krasnokazarmennaja, 12
address: Moscow, Russia

да

Добавлено через 59 секунд

тогда пофиксить в hijackthis:
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5ADDB7-A2A8-4177-B97E-EB94BABFF3A7}: NameServer = 212.44.130.6

после этого перестал работать инет, вернул все обратно

[V_Bond]

тогда 212.44.130.6 ваш днс и его фиксить не стоит ....
подозрительного больше ничего не вижу ...

[psihil]

тогда всем большое спасибо

[drongo]

ну, а кого я спрашивал тогда ? Сами сказали : не знаком ...
ip своего провайдера надо знать
ждём новых логов с активированным авзпм, потом удалить надо его, чтоб не мешался.

[psihil]

ну я же повторил логи с активированным авзпм выше или????

[drongo]

ну я же повторил логи с активированным авзпм выше или????

Да, верно Это я на старые глядел
Теперь удалим, вот скрипт для удаления avzpm

Код:

begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true); 
end.

осталось лишь sp3 и остальные заплатки ставить .
&
http://virusinfo.info/showthread.php?t=30339

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены