Показано с 1 по 13 из 13.

Прошу помочь убрать остатки Trojan.Win32.Agent2.cqzi (Лаборатория Касперского) aka 3381 (заявка № 78889)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    24

    Thumbs up Прошу помочь убрать остатки Trojan.Win32.Agent2.cqzi (Лаборатория Касперского) aka 3381

    С заразой боролся три дня. Усугублялась ситуация тем, что вирус вместо простого запуска ОС и блокировки ее возможностей уходил на BSOD.
    Кое-как удалось загрузиться в безопасном режиме и узнать внешние признаки заразы, поселившейся системы.
    Далее была установлена чистая ОС, чтобы получить доступ к интернету и выяснить, что скрывалось за внешностью заразы и как с ней бороться.

    В общем так или иначе, путем долгой борьбы с подключением тех.под. агрегатора сейчас вирус в основном побежден (вроде бы).

    Прошу помощи в окончательной (надеюсь) победе над заразой.
    Логи в приложении
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по jybqs и выберите "Turn Run Off". Подтвердите перезагрузку.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp3FDF.tmp','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\jybqs.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\jybqs.sys');
     RegSearch('HKLM', '', 'esp3FDF');
     SaveLog(GetAVZDirectory + 'avz.log');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); 
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + прикрепите лог avz.log из папки AVZ

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    24
    Карантин выслан. Логи - в приложении.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    прикрепите лог avz.log из папки AVZ

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    24
    Сорри, забыл
    Вложения Вложения
    • Тип файла: log avz.log (5.7 Кб, 4 просмотров)

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp3FDF.tmp','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\wwemve.sys','');
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\B425DEDD');
    RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\B425DEDD');
    RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\B425DEDD');
     DeleteFile('C:\WINDOWS\system32\Drivers\wwemve.sys');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp3FDF.tmp');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог virusinfo_syscheck.zip

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Дополнительно к совету DefesT

    Лог http://virusinfo.info/showpost.php?p=493610&postcount=1 также сделайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    24
    Карантин выслал, логи в приложении
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    c:\windows\system32\ikm.dll проверьте на virustotal
    Ссылку на результат проверки сообщите

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    hxpww
    rtjlnw
    wwemve
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    24
    http://www.virustotal.com/ru/analisi...4c9-1274358836
    Вложения Вложения

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Удалите файл

    Удалите ComboFix

    Больше ничего плохого. Проблем не осталось?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    24
    Спасибо, вроде больше проблем не наблюдается

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,524
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\jybqs.sys - Rootkit.Win32.Bubnix.ap ( DrWEB: Trojan.NtRootKit.7760, BitDefender: Trojan.Generic.4014339, AVAST4: Win32:Bubnix [Rtk] )


  • Уважаемый(ая) simplep, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. прошу помочь с Trojan.Win32.Ddox.ci
      От NooB~s в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.06.2011, 14:57
    2. Прошу помочь убрать баннер
      От 2Greek в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.02.2011, 10:02
    3. у меня антивирусник выдает Trojan.Win32.Agent2.cqzi (заявка №19693)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 14.07.2010, 06:00
    4. Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение
      От NickGolovko в разделе Вредоносные программы
      Ответов: 52
      Последнее сообщение: 13.06.2010, 07:19
    5. Прошу помочь вычистить остатки гадости.
      От YuriJJ в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 29.03.2010, 18:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00121 seconds with 22 queries