Trojan-Ransom.Win32.Agent.gn

**Jan333** · 12.01.2010, 00:08

Здравствуйте, помогите пожалуйста удалить вирус Trojan-Ransom.Win32.Agent.gn !
AVP находит, aekgoprn.dll.
Компьютер при обнаружении нескольких вирусов как правило перезагружается. Интернет работает с перебоями.
Началось все с того, что на раб. столе появилось неубирающееся окно с требованием "оплатить СМС". Откатил систему назад на два дня... Окно исчезло, а вот вирус остался.
Пробовал несколькими разными антивирусами.
Др. Веб, находит, и говорит, что обезвреживает, но после перезагрузки находит их (4 зараженных объекта) снова.
Nod32 их не видит вообще, при этом интернет при установке NODа также перестает частично работать.
Касперский видит этот вирус, но вылечить его не может! Как говорил выше - перезагружается.
Бьюсь с ним уже 2 недели...

Логи с avz и HiJackThis во вложении. Все сделал по правилам VirusInfo (с отключением восстановления и всей указанной последовательностью действий).

P.S. Файл AVZ - virusinfo_syscure.zip не получается прикрепить к письму. Его размер 6371 кб., при максимуме не более 4,77 мб. Плюс - он запаролен. Что посоветуете?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**gjf** · 12.01.2010, 02:58

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Zolander\Polanda\box.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\klif.sys','');
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
Запустите вот эту утилиту. Система перезагрузится. Если после этого в папке с утилитой обнаружится файл drv.sys - приложите его к следующему сообщению.
Загрузите карантин согласно Правил (Приложение 3).

**Jan333** · 12.01.2010, 13:10

gjf, сделал все как Вы указали.

Прикрепляю к сообщению файл "drv.sys" (запакован в RAR-архив т. к. расширения "sys" я среди разрешенных не нашел.

Загрузил карантин согласно указанным правилам:
"Файл сохранён как 100112_131530_virus_4b4c4bc26d10c.zip
Размер файла 1164
MD5 7daa9ac752dcbc56d307d413a98f53d3"

P.S. При запуске файла "get3.exe" у меня появилось какое-то запрещающее, и ограничивающее в правах доступа окно. Через несколько сек. система перезагрузилась.

**gjf** · 12.01.2010, 13:47

Вот этот файл:

Код:

%windir%\system32\DRIVERS\RDPDR.SYS

заражён. Переименуйте файл drv.sys, который Вы прислали, в RDPDR.SYS и скопируйте его в %windir%\system32\drivers. Перезапись - разрешить.
Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Zolander\Polanda\box.exe');
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
Ещё какие-нибудь жалобы есть?

**Jan333** · 12.01.2010, 19:48

Уважаемый gjf, от души жму Вашу руку!

Жалоб, похоже больше нет. Сделал все как Вы сказали. Вирусов не обнаруживается...

Хотелось бы добавить здесь то,- как я этот вирус подхватил... Возможно это кого-то убережет от глупых поступков.

На страничке появилась ссылка на клип с кем-то из наших звезд. Я машинально нажал. Вместо клипа мне было предложено обновить FlashPlayer до более новой версии, т. к. без этого клип не посмотреть. Я нажал на обновление и КАВ 6 предупредил меня, что это - "потенциально опасное ПО", но я подумав, что "ничего страшного"

дал команду "разрешить"... ... ... Остальное Вы знаете.

gjf, еще раз огромное спасибо!... а Вашему сайту (скажу словами Павла Воли) респект и уважуха.

**gjf** · 12.01.2010, 20:40

Оно чаще всего распространяется в виде флешплеера. Какой сайт - не помните?

**Jan333** · 12.01.2010, 23:00

По-моему это был не сайт, а одно из навязчиво всплывающих окон с кучей разных фото и видео. Адрес сейчас уже точно не вспомню,... да я и не всматривался в него, т. к. не думал на тот момент о предстоящих проблемах.

**gjf** · 13.01.2010, 00:41

Ладно. Главное - вылечили.
Миссия выполнена

Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

**Jan333** · 13.01.2010, 09:58

Ок. Еще раз спасибо!

**Jan333** · 16.01.2010, 02:19

Кое что вспомнил, точнее эта страничка опять всплывала. Это всплывающее окно с кучей ссылок на разные фото и видео, среди которых есть "Общение В. Бони с Д. Биланом в какой-то вип-зоне". При нажатии на одну из этих ссылок вам будет предложено обновить флеш-плейер. Дальше,... где-то через час ждите окна на раб. столе..

**CyberHelper** · 17.01.2010, 02:19

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

Trojan-Ransom.Win32.Agent.gn (заявка № 66873)

Опции темы