Показано с 1 по 6 из 6.

вероятно Win32/Agent троян (svchost.exe) (заявка № 42407)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2007
    Сообщений
    58
    Вес репутации
    34

    Question вероятно Win32/Agent троян (svchost.exe)

    nod32 периодически ругается примерно так :

    24.03.09 10:02:22 Резидентний захист файлової системи файл D:\System Volume Information\_restore{50C4053B-4D79-4460-AC8C-F83C00796BA8}\RP13\A0002214.exe ймовірно, варіант Win32/Agent троян видалений - ізольований NT AUTHORITY\SYSTEM Подія з файлом, зміненим програмою: C:\WINDOWS\System32\svchost.exe.

    Помогите избавиться, пожалуйста.
    Последний раз редактировалось eug@vectra; 20.04.2011 в 21:29.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O2 - BHO: MyCentria Internet Mate v2.2 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
    O3 - Toolbar: &Magnet manager - {E187A442-C095-4740-8B04-96C66ED20DFF} - C:\WINDOWS\system32\MagnetManager.dll
    O4 - HKLM\..\RunServices: [MSys32] \morfitwebentrance.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\csrss.exe');
     StopService('StaffCop Service');
     QuarantineFile('morfitwebentrance.exe','');
     QuarantineFile('C:\WINDOWS\fix.exe','');
     QuarantineFile('c:\windows\csrss.exe','');
     DeleteFile('c:\windows\csrss.exe');
     DeleteFile('morfitwebentrance.exe');
     DeleteFile('c:\windows\morfitwebentrance.exe');
     DeleteFile('c:\windows\system32\morfitwebentrance.exe');
     DeleteService('StaffCop Service');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('StaffCop Service');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2007
    Сообщений
    58
    Вес репутации
    34
    все выполнил.
    карантин выслал. логи прилагаю.
    чисто ?
    Последний раз редактировалось eug@vectra; 20.04.2011 в 21:29.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
      QuarantineFile('C:\WINDOWS\system32\drivers\vad.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  6. #5
    Junior Member Репутация
    Регистрация
    23.11.2007
    Сообщений
    58
    Вес репутации
    34
    Скрипт выполнил, после перезагрузки карантин оказался пуст.
    Файла C:\WINDOWS\system32\drivers\vad.sys теперь не существует.

    Добавлено через 8 часов 26 минут

    Отсутствие C:\WINDOWS\system32\drivers\vad.sys говорит о том , что у меня все чисто ?
    Последний раз редактировалось eug@vectra; 25.03.2009 в 09:46. Причина: Добавлено

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\csrss.exe - not-a-virus:Monitor.Win32.StaffCop.i ( DrWEB: Program.Staffcop.origin )


  • Уважаемый(ая) eug@vectra, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 27.03.2012, 22:50
    2. Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe
      От Geonov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.09.2009, 18:51
    3. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 06:47
    5. Win32.Agent троян
      От evil-SHADOW в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.08.2007, 21:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00700 seconds with 20 queries