Показано с 1 по 18 из 18.

Троян. Win32 Agent-QTR (заявка № 65908)

  1. #1
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34

    Exclamation Троян. Win32 Agent-QTR

    Найден сразу, после установки avasta...
    После удаления в хранилище, моментально проявляется и находиться снова avastom.
    Вложения Вложения
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\Secret.exe','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('c:\windows\userinit.exe','');
     QuarantineFile('c:\windows\system32\system.exe','');
     TerminateProcessByName('c:\windows\system32\system.exe');
     DeleteFile('c:\windows\system32\system.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    По красной ссылке отправлен предыдущий zip.
    Вложения Вложения
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Пофиксить в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exe
    ПК перезагрузите.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\system.exe');
     TerminateProcessByName('c:\windows\userinit.exe');
     DeleteFile('c:\windows\userinit.exe');
     DeleteFile('c:\windows\system32\system.exe');
     DeleteFile('F:\Secret.exe');
     DeleteFile('F:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  6. #5
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    Пофиксил. С перезагрузкой уже были какие-то проблемы.
    После выполнения скрипта ноут перестал выходить в работу.
    Останавливается на предложении выбрать админа или пользователя, после выбора сразу идет в сохранение данных перед закрытием Windы...
    В безопасном режиме всё то же.
    Пишу уже с другого компа.

    У меня уже была тут тема, с другим компом. Была та же самая проблема, после выполнения скрипта. Только там была возможность подцепить другой диск, да и CD-рум был. А что теперь делать с маленьким Асусом? У него СD нету...
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Во время загрузки нажмите F8, выберите загрузку с последней удачной конфигурацией.

  8. #7
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    Так восстановление то тоже отключено...
    Не работает.
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Создайте DrWeb livecd (по ссылке рассказано как сделать LiveCD в картинках), загрузитесь с этого диска с создайте загрузочную "флешку"
    Создание загрузочного флэш-накопителя автоматически
    1. В графической оболочке нажмите значок программы Create Live USB на рабочем столе:
    Программа перейдет в режим ожидания подключения устройства через USB-порт.
    2. Подключите флэш-накопитель. Регистрация события подключения занимает максимум десять секунд.
    Копирование файлов начнется автоматически. Если на подключенном флэш-накопителе несколько разделов, файлы LiveCD будут записаны на тот раздел, который является загружаемым, у остальных разделов флаг bootable снимается.
    Создание загрузочного флэш-накопителя вручную
    1. Откройте терминал для работы в командной строке одним
    из следующих способов:
    - в графической оболочке нажмите значок терминала на рабочем столе;
    - в safe mode выберите в главном меню пункт Start Shell.
    2. (Необязательно.) Для проверки подключенных к компьютеру дисков, а также разделов на флэш-накопителях запустите команду mount: /bin/mount или просто mount.
    3. Выполните команду create_usb [device] или CreateLiveUSB [device].
    Например, create_usb sda1
    Загрузитесь на больном ПК с этого флеш-накопителя (лучше загрузится в DrWeb LiveCD safe mode), в меню выбрать Midnight Commander (файловый менеджер, аналог FAR или нортон командера), в корне в самом низу найдете папку Win внутри ее ваши диски, скопируйте файл из c:\windows\system32\userinit.exe в папу c:\windows и перезагрузите ПК.
    Последний раз редактировалось snifer67; 04.01.2010 в 21:11.

  10. #9
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    Одно не понятно, как заставить работать автозапуск с флешки?...
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    При перезагрузке посмотреть на экран, должно быть что-то типа "boot menu" и кнопка куда нажимать чтоб это меню появилось, нужно нажать эту кнопку, появится менеждер загрузки, из списка выбрать вашу флешку.

  12. #11
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    В том и есть проблема. На большом компе это есть, вовремя нажатая Del приведет к возможности сменить приоритет. На ноуте нету. Только черный экран, а там уже сразу варианты загрузки Windы...
    Я пока в замешательстве.
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    В консоль восстановления можете загрузиться? http://support.microsoft.com/kb/314058/ru
    Вам нужно скопировать чистый файл userinit.exe из дистрибутива (или с другой такой же системы) или можно попробовать из папки на этом нетбуке c:\windows\system32\dllcache в папку c:\windows\system32. И на всякий случай временно в c:\windows
    Последний раз редактировалось kps; 04.01.2010 в 23:57. Причина: поправил, т.к. нетбук...
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    Единственное, чего я добился за это время, так это то, что ноут пытается запуститься с флешки, в виду отсутствия СD-рума.
    Я уже создал загрузочный флеш-накопитель, заставил бук начинать загрузку с USB, да только почему-то мне пишут: could not find kernel image: linux. И ни фига не запускается.
    При чем тут Linux?! У меня ХР стоит!
    Ребят, че за хрень?

    Внимательно изучив описание предложенного DrWeb livecd нашел маленькую оговорку Dr.Web LiveCD поставляется в виде загрузочного диска с переносной операционной системой на базе Linux...
    Жаль, да и вечер потрачен без пользы для ноутика...

    А есть ли такой вариант запуска ОС для ХР?
    Последний раз редактировалось Gena77; 05.01.2010 в 01:24.
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Вот это м.б. Вам поможет: http://www.winblog.ru/winxp/1147765025-15020801.html
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    Да, что-то ни фига не выходит каменный цветок... Всё проверил, файл на месте, с запятой. Что дальше, систему переставлять?
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Размер файла userinit.exe в папке system32 какой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    97
    Вес репутации
    34
    Извините, праздники, уехал на ненадолго. Вернусь, обязательно продолжу восстановление нетбука и, естественно, тему.
    [I]Кто хочет - ищет возможности, кто не хочет - причины![/I]

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\system.exe - Trojan-Downloader.Win32.Agent.btlp ( DrWEB: BackDoor.Bulknet.419, BitDefender: Win32.Worm.Autorun.GE, AVAST4: Win32:Agent-QTR [Trj] )
      2. c:\windows\userinit.exe - Trojan-Downloader.Win32.Agent.btlp ( DrWEB: BackDoor.Bulknet.419, BitDefender: Win32.Worm.Autorun.GE, AVAST4: Win32:Agent-QTR [Trj] )
      3. f:\secret.exe - Trojan-Downloader.Win32.Agent.btlp ( DrWEB: BackDoor.Bulknet.419, BitDefender: Win32.Worm.Autorun.GE, AVAST4: Win32:Agent-QTR [Trj] )


  • Уважаемый(ая) Gena77, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Win32\PSW.Agent.Nor троян
      От Konstruktor в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.09.2010, 00:02
    2. win32/agent.NVL троян
      От xupypr66 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.03.2009, 15:07
    3. троян Win32/PSW.Agent.NHG
      От vovantus в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.11.2008, 23:01
    4. Троян win32.agent.cz
      От Spiritrus в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 09.05.2008, 15:25
    5. Win32.Agent троян
      От evil-SHADOW в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.08.2007, 21:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01630 seconds with 23 queries