PDA

Просмотр полной версии : Trojan.Win32.Agent.mf Помогите пожалуйста.



Kukuruznik
19.02.2006, 17:57
Здраствуйте ! У меня на компьютере Касперский находит вирус Trojan.Win32.Agent.mf но удалить не может, как он ко мне попал... я думаю что через ICQ так как вчера её кто то вскрыл( уж больно легкий был пароль) .
Признаки такие : Выдает ошибку Explorer.exe и ошибку Generic host process for Win32 services . Помогите пожалуйста !Огромное спасибо заранее.
И еще: Впервый раз пишу на форуме и поэтому прошу не сильно винить если я что то забыл упомянуть о вирусе.

Geser
19.02.2006, 18:59
http://virusinfo.info/showthread.php?t=1235

Minos
19.02.2006, 19:03
Сделайте все в соответствии с правилами. Для детального разговора нужны логи, как и чем их сделать описано в правилах.

Kukuruznik
19.02.2006, 21:21
Вот один лог, скоро второй будет тока с прогой разберусь
Хм... странно но программа AVZ закрываеться самопроизвольно почти сразу.

RiC
19.02.2006, 22:02
Вот один лог, скоро второй будет тока с прогой разберусь
Хм... странно но программа AVZ закрываеться самопроизвольно почти сразу.
переименуйте исполняемый файл во что-нибудь другое zva.exe например,
2 Олег, похоже после публикации в Xaker программа стала "популярной" :D

Зайцев Олег
19.02.2006, 22:04
2 Олег, похоже после публикации в Xaker программа стала "популярной" :D
Да, и не только после публикации в хакере ... avz.exe просто попал в длиннющий список имен файлов ПО, имеющего отношение к защите ПК - вот и результат. Но против этого уже готовится противоядие.

Kukuruznik
19.02.2006, 22:39
Cпасибо теперь программа запускаеться, но уже поздно и мне надо идти спать так что до завтра! завтра я просканирую с помощью avz и выложу лог файл.Надеюсь что мы сумеем победить этот вирус
Вот-с лог avz.

Kukuruznik
20.02.2006, 22:09
Вот я выложил оба лога.Помогите пожалуйста .

Geser
20.02.2006, 22:27
Мдаа...
А зачем понадобилось убирать птичку "Исключить из протокола файлы опознанные как безопасные"?
Что бы нам было веселее об километровый лог глаза ломать?

pig
21.02.2006, 02:29
Пришлите хотя бы вот это (согласно правилам):
C:\WINDOWS\System32\msqh32.dll
C:\WINDOWS\System32\5872\explorer.exe

Подсказка: искать с помощью AVZ, при включённом противодействии руткитам.

Kukuruznik
21.02.2006, 21:17
Извините пожалуйста!
Хм... странно такой папки как explorer.exe нет!:?
и того файла тоже!:?
вот еще один лг.

pig
22.02.2006, 03:10
странно такой папки как explorer.exe нет!
и того файла тоже!

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана
Одно из двух: или AVZ как-то неправильно запускается, а в реестре мусор, или в системе сидит крепкий руткит, противодействующий AVZ.

Geser
22.02.2006, 08:16
C:\WINDOWS\System32\msqh32.dll
C:\WINDOWS\System32\drivers\klmc.sys
C:\WINDOWS\System32\DRIVERS\ptserial.sys
C:\WINDOWS\System32\Drivers\SPTD1277.SYS
sptd.sys

Эти файлы обязательно должны быть. Искать при поможи АВЗ как написано в правилах

Kukuruznik
22.02.2006, 20:40
C:\WINDOWS\System32\msqh32.dl - Нет
lC:\WINDOWS\System32\drivers\klmc.sys-Есть
C:\WINDOWS\System32\DRIVERS\ptserial.sys- Есть
C:\WINDOWS\System32\Drivers\SPTD1277.SYS -Есть
Вопрос: Как их извлечь?Или копировать? Что бы вам прислать.

Geser
22.02.2006, 21:22
В правилах написано как искать и как присылать. Если C:\WINDOWS\System32\msqh32.dll
не находится в обычном режиме - искать в защищённом.

Kukuruznik
22.02.2006, 23:47
Ясно! спасибо. я виноват, до конца не дочитал =).

Geser
23.02.2006, 08:15
msqh32.dll Worm.Win32.Feebs.bn
Этот файл нужно удалить

Kukuruznik
23.02.2006, 13:17
msqh32.dll -Это я удалил.Но сообщения об ошибке всё равно появляються.

Geser
23.02.2006, 13:51
msqh32.dll -Это я удалил.Но сообщения об ошибке всё равно появляються.
Конкретнее текст сообщения, и когда появляется.

Kukuruznik
23.02.2006, 15:26
Вот одно из них:

pig
23.02.2006, 15:49
Администрирование - Службы - поименованную службу перевести в состояние Отключить.

Geser
23.02.2006, 16:07
АВЗ->Менеджер автозапуска. Удалить c:\windows\system32\msqh32.dll

Зайцев Олег
23.02.2006, 16:34
АВЗ->Менеджер автозапуска. Удалить c:\windows\system32\msqh32.dll
А еще лучше - попробовать новую технологию:
1. Скачать AVZ 4.15
2. Закрыть все программы, запустить AVZ с включенным AVZGuard: "avz.exe ag=y". При этом можно AVZ не переименовывать - Feebs не сможет его прибить
3. Включить противодействие UserMode руткитам и пролечить систему
4. "файл/отложенное удаление" - удалить через него c:\windows\system32\msqh32.dll. При этом AVZ долже прибить его из автозапуска
5. Перезагрузиться
--
В теории по данному алгоритму убивается любая версия Feebs ... по картинке в посте №20 складывается впечатление, что файл msqh32.dll не удален ! Я пробовал прибивать Feebs не удаляя ссылку автозапуска, такая ошибка у меня не возникала

Kukuruznik
23.02.2006, 16:54
Спасибо! сейчас выполную ваши инструкции, и попозже скажу о результатах
Спасибо! Сообщения об ошибке пропали!