-
Junior Member
- Вес репутации
- 55
Trojan-Dropper.Win32.Agent.ajlx
Всем доброго времени суток, товарищи!
Сегодня, при переносе с компьютера соседа по офису на свой компьютер информации на "флешке", на последней антивирусом Касперского(6-ой версии) обнаружился вирус Trojan-Dropper.Win32.Agent.ajlx (в виде bat-файла). Запустился оный с "флешки" при помощи файла autorun.inf(оба файла имеют, по всей видимости, атрибут "Скрытый": не отображались даже при выборе в опциях Проводника пункта "Показывать скрытые файлы и папки"(видно было только в FAR-менеджере) - проверялось путём копирования "образцов" в отдельную папку с переименовыванием расширений; "рассматривалось" на моём компьютере). После удаления вируса, при попытке открыть "флешку", выводилось "окно выбора программ для открытия файла". После удаления с флешки файла autorun.inf, она стала открываться.
При проверке и составлении логов с заражённого компьютера AVZ находил данный вирус и удалял его, но тот в последствии появлялся снова.
Пожалуста, осмотрите логи и вынесите вердикт
Последний раз редактировалось Hamrad; 01.10.2009 в 11:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('c:\program files\common files\target marketing agency\tmagent\tmagent.dll','');
QuarantineFile('E:\autorun.wsh','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\system32\nmdfgds0.dll','');
DeleteFile('C:\WINDOWS\system32\nmdfgds0.dll');
DeleteFile('E:\autorun.wsh');
DeleteFile('E:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('c:\program files\common files\target marketing agency\tmagent\tmagent.dll');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи.
P.S. Файл хостс сами редактировали?
-
-
Junior Member
- Вес репутации
- 55
Карантин загружен:
Результат загрузки
Файл сохранён как090824_194452_2009-08-24_4a92b5742430f.zipРазмер файла2702409MD595f3fdc1dafc081ee62777782a8492ddФайл закачан, спасибо!
Да, как мне сказал владелец "потерпевшего", файл hosts редактировался, но частично(насколько - сказать не смогу...).
После выполнения скрипта и перезагрузки появилось окно Настройки Системы (msconfig). При его закрытии и попытке "добраться" до соседнего компьютера по локальной сети, ничего не вышло...
Вот повторные логи:
Последний раз редактировалось Hamrad; 01.10.2009 в 11:46.
-
В логах чисто.
Обновите Java.
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 55
-
Junior Member
- Вес репутации
- 55
Вот, посмотрите, на всякий случай, лог от Гмера:
Последний раз редактировалось Hamrad; 01.10.2009 в 11:46.
-
-
-
Junior Member
- Вес репутации
- 55
-
Еще был C:\WINDOWS\system32\nmdfgds0.dll (KIS 2009=Зловред Trojan-GameThief.Win32.Magania.aybn; DrWEB 5.0=Зловред Trojan.PWS.Wsgame.10708; VBA32=Зловред Win32.PSW.OnLineGames.NMP). Оба трояна предназначены для кражи паролей к платным онлайн-играм. Распространяются через флешки.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\target marketing agency\tmagent\tmagent.dll - not-a-virus:AdWare.Win32.TMAagent.t
- c:\uxkl0apt.bat - Trojan-Dropper.Win32.Agent.ajlx ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Worm.Generic.72644, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Kavos [Trj] )
- c:\windows\system32\nmdfgds0.dll - Trojan-GameThief.Win32.Magania.aybn ( DrWEB: Trojan.PWS.Wsgame.10708, BitDefender: Trojan.PWS.Onlinegames.KBSC, NOD32: Win32/PSW.OnLineGames.NMP trojan, AVAST4: Win32:Kavos [Trj] )
- d:\uxkl0apt.bat - Trojan-Dropper.Win32.Agent.ajlx ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Worm.Generic.72644, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Kavos [Trj] )
- e:\uxkl0apt.bat - Trojan-Dropper.Win32.Agent.ajlx ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Worm.Generic.72644, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Kavos [Trj] )
-