Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помогите-win32/agent.odg (заявка № 43110)

  1. #1
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29

    Thumbs up Помогите-win32/agent.odg

    Здравствуйте,прошу содействия с этой бякой.
    Ситуация следующая :При смене антивируса с nod 2.7 версии +agnitum фаервола последней версии на нод 4 версии и фаервол comodo.
    Обнаружился в оперативной памяти вирус win32/agent.odg (по сообщению сканера нода).и что очистка невозможна.
    Имеющаяся до этого защита не выявляла данного субъекта при регулярных полных проверках+ dr.web cure it! 1-2 раза в месяц.

    Замеченные вередоносные действия-
    -обрыв открытых интернет соединений,
    -в браузере оперы вместо адресной строки ,
    появляются произвольно надписи testtestesttesst ,
    -проблемы со скачиванием файлов через майл агент или icq -невозможно принять,
    -ссылки на сайтах не открываются или выбрасывается на рефер -сайт gogle или westbyte(download master),качать удается через total commander по прямой ссылке.
    -Обновление программ не работает,сайты обновления windows,
    -не открывается ряд сайтов по безопасности .
    Следую согласно вашей инструкции.
    Проверка AVPTool -не принесла результата.(лог есть если понадобиться)
    Надеюсь на вашу помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=43110).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Сделал,как сказали,вроде помогло.Нод 32 больше не ругался на вирус,программы стали обновляться,сайт виндовса открывается.
    Но при обновление ядра нод обнаружил еще схожий вирус ,правда уже очистил и удалил win32/trojanclicker.agent.nff (содержащийся в system 32 и system32/driver -msqpdxjskyenxo.dll и .sys).
    Может нужны еще проверки от скрытой угрозы?Или все чисто?
    файл который очистил скрипт AVZ выслал по форме.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     SetAVZGuardStatus(True);
     DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
     DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
     DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
     QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
     DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43110

    3. Повторите лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Карантин выслал,новый лог приложил.
    Нод опять нашел аналогичный вирус-троян в системной папке 32 и драйверах,видимо что-то их загружает.
    Еще после удаления askbara ,загрузка пользователя в обычном режиме идет, ну очень ,долго -минут 15-20 и потом не видно строки запуска и рабочего стола,только диспетчер задач можно запустить ктрл+альт+дел и все.
    В безопасном режиме проблем нет,программы работают и скорость не теряется.Как это исправить?
    В логах больше нет аномалий?
    Вложения Вложения
    Последний раз редактировалось Lumini; 04.04.2009 в 02:09.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Lumini Посмотреть сообщение
    Нод опять нашел аналогичный вирус-троян в системной папке 32 и драйверах,видимо что-то их загружает.
    Сделайте 2 лога в АВЗ и лог Хайджека.

  8. #7
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Новые логи приложил.Проверился еще утилитой от gmer ,он обнаружил опять гражданина msqpdxynmylyax.sys в сервисах и драйверах +ключи в реестре.в режиме спрятанного процесса.

    Заглянул в AVZ посмотрел карантин и папку инфицированных файлов-он оттуда пропал!?(может когда я его архивировал для передачи вам,отправляется сам оригинал ,а копия не остается?).
    Откуда он опять появился-то ,гад.=(
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Приложите лог gmer...

  10. #9
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Вот лог -gmer.Что дальше делать?
    Вложения Вложения
    • Тип файла: log gmer.log (115.7 Кб, 7 просмотров)

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys
    C:\WINDOWS\system32\msqpdxjskyenxo.dll
    правая кнопка мыши Force Delete на запрос ответьте положительно.

    После удаления файлов перезагрузитесь!

    Затем зайдите в раздел "Registry", по "My computer" нажмите правой кнопкой "Find Text" и введите:

    Код:
    msqpdxserv
    Все что найдет удалить правой кнопкой "Delete", после каждого найденного ключа для того, чтобы продолжить поиск нажимайте по "My computer" правой кнопкой и выбирайте "Find Next"...

    Перезагрузитесь и повторите лог Gmer.

    Как искать и удалять ключи реестра с помощью IceSword
    Последний раз редактировалось Aleksandra; 04.04.2009 в 23:54.

  12. #11
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Не могу запустить IceSword ,пишется open device failed ,error code :1073741762 . Initialize failed

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys','');
     QuarantineFile('C:\WINDOWS\system32\msqpdxjskyenxo.dll',''); 
     DeleteFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys');
     DeleteFile('C:\WINDOWS\system32\msqpdxjskyenxo.dll'); 
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43110

    3. Повторите лог Gmer.
    Последний раз редактировалось Aleksandra; 05.04.2009 в 03:06.
    Наша служба, будто сердце, отдыха не знает никогда.

  14. #13
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Скрипт выполняется,но карантин не ловится в папке пусто.
    Скрипт как я заметил выполняется с ошибками,AVZ Guard не запускатся и
    msqpdxserv.sys -ошибка прямого чтения.

    в AVZ установлен мастер расширенного наблюдения,раньше гвард включался,а теперь нет.Пробовал и вручную включать и удалять AVZ c ключами по скрипту и заново запускать.Ошибка активации режима и все.
    Пробовал по справке :использовать лечение и включать kernel и user mode.Не помогает.
    Соотвественно gmer выдает тотже результать ,что и раньше в посте.
    Может через gmer удалить эти зловреды? или есть скрипт для отладки AVZ?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Скрипт упростила. Попробуйте еще раз.

    Добавлено через 4 минуты

    Цитата Сообщение от Lumini Посмотреть сообщение
    Может через gmer удалить эти зловреды?
    После запуска Gmer, Вам необходимо нажать на клавишу «>>>» для отображения дополнительных функций программы.

    Выбрать вкладку Files. Появится аналог проводника. Найдите

    Код:
    C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys
    C:\WINDOWS\system32\msqpdxjskyenxo.dll
    и нажмите Delete для удаления.

    Подтверждаем выбранное действие, нажимая Да(Yes).

    Добавлено через 1 минуту

    Перезагрузитесь и повторите лог Gmer.
    Последний раз редактировалось Aleksandra; 05.04.2009 в 03:14. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  16. #15
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Скрипт запустил.Карантин снова пуст.Gmer при экспресс проверке не выдает скрытого процесса,но при поиске в файлах
    C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys
    C:\WINDOWS\system32\msqpdxjskyenxo.dll
    не обнаружено.

    При полном сканировании есть msqpdxserv.sys в сервисах
    и куча ключей с такими переменными в реестре.
    во всех ветках 0-17 'HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv .sys
    Попробовал удалить сервис,появились какие-то предупреждения об угрозе windows и в итоге ошибка отказа действия ,но из списка он пропал.
    Посмотрю что будет после перезагрузки.
    msqpdxynmylyax.sys -у меня есть в архиве после первой ловли,могу еще раз переслать если нужно.
    Вложения Вложения
    • Тип файла: log gmero.log (114.6 Кб, 3 просмотров)

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Этого уже нет.

    ---- Services - GMER 1.0.15 ----

    Service system32\drivers\msqpdxynmylyax.sys (*** hidden *** )
    Теперь попробуйте удалить ключи в реестре с помощью Ice Sword или regedit.

    Еще вариант http://virusinfo.info/showthread.php?t=42802

    После проверки выбираем "Fix now" и перегружаемся.

    Как все удалите повторите лог Gmer.
    Наша служба, будто сердце, отдыха не знает никогда.

  18. #17
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    Реестр почистил.Логи сделал ,gmer более ничего вроде не находит,а вот утилита от аваста нашла в реестре скрытые ключи еще 18 штук ,непонятных каких-то(лог приложить не могу он весит около 12 мб.)
    Hidden registry items found: 18
    Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN ] **HIDDEN**
    Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN \Out] **HIDDEN**
    Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN \Out] DMPortGUID=(binary value) **HIDDEN**
    Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I ] **HIDDEN**
    Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I \Out] **HIDDEN**
    Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I \Out] DMPortGUID=(binary value) **HIDDEN**
    скопировал из лога.
    это опасные элеметы?
    Еще при нажимании на ссылки ,происходит редирект на сайт http://www.westbyte.com/dm/
    как это убрать?
    зайти в обычом режиме пользователя все еще не могу,длительная загрузкаи потом пустой экран с указателем мышки,диспетчер задач по ктрл+дел+альт и все.
    Вложения Вложения
    Последний раз редактировалось Lumini; 05.04.2009 в 18:54.

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Запакуйте лог и загрузите сюда http://rapidshare.ru/

  20. #19
    Junior Member Репутация
    Регистрация
    31.03.2009
    Сообщений
    11
    Вес репутации
    29
    aswaro.zip
    http://www.rapidshare.ru/995684
    лог аваст-антируткита.

    Добавлено через 4 часа 14 минут

    Проблема с загрузкой и режимами решена-деинсталировал фаервол CoMODO один из его элементов guard32.dll попала в карантин AVZ.
    Вопрос со скрытыми ключами в аваст и отсылкой на download master остается.
    Последний раз редактировалось Lumini; 06.04.2009 в 02:24. Причина: Добавлено

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    В логе Gmer чисто.

    Добавлено через 2 минуты

    Цитата Сообщение от Lumini Посмотреть сообщение
    Вопрос со скрытыми ключами в аваст и отсылкой на download master остается.
    Эти ключи угрозы не представляют. DM установлен на компьютере?
    Последний раз редактировалось Aleksandra; 10.04.2009 в 10:50. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  • Уважаемый(ая) Lumini, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите справиться с вирусами Worm.Win32.Agent.adx и Trojan.Win32.Chydo.axd (заявка №108954)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 02.09.2011, 18:01
    2. Win32/Rootkit.Agent.ODG и Win32/Olmarik.JU Помогите пожалуйста!
      От Попутчик1980 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.07.2009, 16:09
    3. Ответов: 4
      Последнее сообщение: 12.03.2009, 14:39
    4. Помогите. Win32: Agent-VGV. [Wrm]
      От rostovchanin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.08.2008, 21:24
    5. Помогите! Win32/Wigon.CN & Win32/PSW.Agent.NHV
      От SoftSlider в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.07.2008, 02:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01107 seconds with 23 queries