просьба помочь разобраться
Касперский пишет, что подхватил Trojan-Proxy.Win32.Agent.mj
просьба помочь разобраться
Касперский пишет, что подхватил Trojan-Proxy.Win32.Agent.mj
В AVZ выполнить скрипт:
После перезагрузки прислать карантин по форме, согласно Правил.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('\??\C:\WINDOWS\System32\drivers\xinstall.sys',''); QuarantineFile('C:\WINDOWS\System32\wcescom32.exe',''); RebootWindows(true); end.
Система "решето". Надо бы поставить SP2 с решением вопроса с активацией Виндов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
выполнил, выслал
C:\WINDOWS\System32\wcescom32.exe не дошел.
Видимо, антивирус Касперского мешает. Попробуем выполнить скрипт в AVZ:
Перезагрузите компьютер.Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\System32\wcescom32.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; end.
Поставьте антивирус Касперского на паузу.
Заархивируйте файл из карантина по Правилам.
Включите антивирус Касперского.
Пришлите архив карантина через ссылку http://virusinfo.info/upload_virus.php?tid=8789
а файл boot_clr.log из папки AVZ приложите к своей теме.
готово
C:\WINDOWS\System32\wcescom32.exe - Trojan-Proxy.Win32.Agent.mj (по Касперскому). В программе Hijackthis пофиксите строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [ActiveSync] C:\WINDOWS\System32\wcescom32.exe O4 - HKCU\..\Run: [ActiveSync] C:\WINDOWS\System32\wcescom32.exe O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п. 10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\eied_s7.cab'); DeleteFile('c:\windows\system32\wcescom32.exe'); ExecuteSysClean; BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
пофиксил, выполнил, сделал
По логам, данный конкретный троян удален. Попал он к вам, вероятно, через зараженный сайт - http://www.viruslist.com/ru/viruses/...virusid=112169 - очень похожий способ заражения описан, да и файлик у вас такой был на машине. Касперский больше не ругается?
На будущее, крайне рекомендуется поставить SP2 + все последующие обновления. В вашем случае, после установки SP2 , потребуется повторная активация Windows. Если Касперский для Windows workstations у вас легальный, его тоже хорошо бы обновить до актуальной версии - Версия 6.0.2.678.
премного благодарен!
как он попал - я честно не в курсе, может и через сайт.
да, антивирус молчит и он вроде как вполне легален Ж)
приму к сведению Ваши рекомендации,
ещё раз спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\wcescom32.exe - Net-Worm.Win32.Agent.d (DrWEB: Trojan.DownLoader.19970)
Уважаемый(ая) Kapiton, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.