Показано с 1 по 7 из 7.

trojan.win32.agent.aad не выводится :( (заявка № 7044)

  1. #1
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    64

    Thumbs up trojan.win32.agent.aad не выводится :(

    Началось все с того, что комп после логина улетал в BSOD. Загрузился под другим пользователем, проверился norton`ом - тишина. Проверился каспером - он нашел несколько вирусов (каких именно простите не помню) в temporary internet files и в файле с:\WINDOWS\system32\zuysteo.exe вирус который обозвал trojan.win32.agent.aad и сообщил что убил все.
    Я порадовался, но при попытке логина под первым пользователем - снова BSOD. Снова загружаюсь по вторым логином - файл на месте... Убиваю, загрузка с первым пользователем - BSOD, загрузка со вторым файл снова там.

    Собственно, к сожалению, логи я смог сделать только под вторым пользователем, под которым комп работает, под первым при загрузке сразу BSOD.
    Логи прилагаю, прошу помощи.

    P.S. Проверялся с помощью drweb-cureit, он не нашел ничего кроме Remote Admin`a но этот на машине по делу стоит...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А в безопасном режиме войти под проблемным пользователем получается? Если да, сделайте логи таким способом.

    А пока: AVZ - Файл - Выполнить скрипт:
    Код:
    begin
      QuarantineFile('C:\WINDOWS\system32\zkPeCrypt.dll','');
      QuarantineFile('с:\WINDOWS\system32\zuysteo.exe','');
    end.
    И пришлите карантин AVZ в соответствии с Приложением 2, с пункта 5.
    Надеюсь, zuysteo.exe - не опечатка?

  4. #3
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    64
    Цитата Сообщение от pig
    А в безопасном режиме войти под проблемным пользователем получается? Если да, сделайте логи таким способом.
    Эммм... я тут пока почитал другие темы и под влиянием, одной из них сделал вот что:

    Под другим пользователем удалил из Windows\System32 файлы rpcc.dll, zAskop.dll, zkPeCrypt.dll, zuysteo.exe
    из Documents and Settings\первый профиль\Local Settings\Temp и Documents and Settings\первый профиль\Local Settings\Temporary Internet Files вообще все.

    Перезагрузился, Попробовал войти под первым пользователем - BSOD.

    Зашел под вторым, произвел процедуру снова т.е. удалил из Windows\System32 файлы rpcc.dll, zAskop.dll, zkPeCrypt.dll, zuysteo.exe
    А вот в папке Documents and Settings\первый профиль\Local Settings\Temp были только 74093.exe, 4098952.exe, 73726884.exe, hd1.tmp, p2hhr.bat (пустой внутри) и tyfgh545yggf.tmp я их тоже грохнул, после чего нормально залогинился под первым пользователем.
    Новые логи сейчас сделаю и выложу.

    Цитата Сообщение от pig
    Надеюсь, zuysteo.exe - не опечатка?
    нет не опечатка. Кстати я все, что удалял, перед удалением скопировал на другой комп, так что если интересно могу кучкой куда-нить положить... Часть файлов Каспер определяет как trojan.win32.agent.aad и trojan.win32.agent.bbn

  5. #4
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    64
    http://virusinfo.info/showthread.php?t=7012 Вот эта тема меня натолкнула на мысль поискать еще. Спасибище авторам, там отметившимся.

    Выкладываю новые логи сделанные из-под бывшего проблемного пользователя. Посмотрите пожалуйста.

    Вирусняк с паролем virus выложил на https://virusinfo.info/upload_virus.php со ссылкой на эту тему...
    Файл сохранён как: 061207_084749_virus_45781b8572023.rar
    Размер файла: 85043
    MD5: ad5da00b2f7c25070f3018643ce512e0
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Хороший набор ....

    4098952.exe - , возможно, DLOADER.Trojan
    73726884.exe - Trojan.Spambot
    74093.exe - Trojan.Starter.115
    zAskop.dll - Trojan.Spambot
    zuysteo.exe - Trojan.Starter.115

    оставшееся (включая 4098952.exe)

    AntiVir Found Heuristic/Malware (probable variant)
    ArcaVir Found nothing
    Avast Found nothing
    AVG Antivirus Found Generic2.LLN
    BitDefender Found Generic.Malware.dld!!.A47CB012, Generic.Malware.Bdld!!.98C60C21
    ClamAV Found nothing
    Dr.Web Found DLOADER.Trojan (probable variant)
    F-Prot Antivirus Found Possibly a new variant of W32/Dlr-Trojan-Malware-based!Maximus
    F-Secure Anti-Virus Found Trojan-Downloader.Win32.Agent.bbn
    Fortinet Found nothing
    Kaspersky Anti-Virus Found nothing
    NOD32 Found probably a variant of Win32/TrojanDownloader.Small.AIF (probable variant)
    Norman Virus Control Found W32/LdPinch.gen1
    VirusBuster Found nothing
    VBA32 Found Win32.Trojan.Downloader (http://...) (probable variant)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    C:\WINDOWS\system32\zkPeCrypt.dll - тоже зверь?

    Если да, то надо пофиксить:
    Код:
    O2 - BHO: C:\WINDOWS\system32\zkPeCrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\system32\zkPeCrypt.dll (file missing)
    А вот это фиксить однозначно:
    Код:
    O4 - HKCU\..\Run: [report windows] C:\WINDOWS\system32\zuysteo.exe

  8. #7
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    64
    Пофиксил, спасибо! Вроде теперь все путем... Спасибо Вам огромное, за помощь!

  • Уважаемый(ая) 2jocke2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 25.01.2011, 17:10
    2. Ответов: 9
      Последнее сообщение: 09.10.2010, 13:31
    3. Ответов: 10
      Последнее сообщение: 06.10.2010, 23:31
    4. Ответов: 1
      Последнее сообщение: 30.06.2009, 08:47
    5. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00588 seconds with 20 queries