Trojan.Win32.Agent.afg

AVZ находит файл в C:\Windows\System32\*.dll, на который говорит, что Trojan.Win32.Agent.afg

Я его удаляю, но файл появляется снова уже с другим именем. Логи класть бессмысленно, т.к. там больше ничего нет толкового.

Еще он прописывает свою DLL'ку в SPI/LSP. Там я тоже исправляю все (либа AVZ говорю, чтобы он сам сделал исправления, либо руками), но это не помогает.

Как с ним бороться? На [URL="http://www.viruslist.ru"]www.viruslist.ru[/URL] инфы по нему нет.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\zcvwbar.dll','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\zcvwbar.dll');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL].

[b]Дополнительно:[/b] эта утилита winsockxpfix сбрасывает настройки сети.
Перед ее применением их желательно запомнить/записать

Загрузил
[QUOTE]Результат загрузки
Файл сохранён как 070709_161802_virus_4692277a5f4e0.zip
Размер файла 105294
MD5 ebf5e39b9999e09a0ebe16d76cc3cc41[/QUOTE]


Только файл zcvwbar.dll теперь назыывается syoewefsrtobq.dll

Каспером и AVZ они (zcvwbar.dll, syoewefsrtobq.dll и др. (это один и тот же файл, просто когда его удаляешь, то после перезагрузки создается новый и с другим именем)) определяется как Trojan.Win32.Agent.afg

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
Использовать WinSockFix не пришлось, все и так работает.

У Вас есть расшареные паки, диски? Файрвол на компьютере установлен?
Просканируйте компьютер Касперским в безопасном режиме.

[QUOTE]HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/QUOTE]

Я это уже не один раз видел на разных компах, но никак не могу понять, что это такое?

Создается при падении Windows.

[quote=Maxim;121405]У Вас есть расшареные паки, диски? Файрвол на компьютере установлен?
Просканируйте компьютер Касперским в безопасном режиме.[/quote]

Папки расшаренные есть. Файрвол только на NAT сервере. (Это все на работе)

Каспера поставить не могу из-за отсутствия лицензий (начальство пока не готово закупать антивири, вот руками их и ловлю). А AVP-OnLine в безопасном кажется не заработает. Если только AVZ или CureIT.

[QUOTE='Angel 2S2;121411']Папки расшаренные есть.[/QUOTE]Вот он к Вам и лезет через папки...
[QUOTE='Angel 2S2;121411']Каспера поставить не могу из-за отсутствия лицензий (начальство пока не готово закупать антивири, вот руками их и ловлю).[/QUOTE]Поставьте пробную версию, иначе мы "ручками" долго будем его ловить.

[color=red]Восстановление системы[/color] нужно отключить!!
Корзину почистить.
Подозреваю, что тут еще замешан файловый вирус. Надо скачать [b]Cure-It от Dr.Web[b]
и проверить в безопасном режиме ВЕСЬ диск, а не только экспресс-проверку.
На всякий пожарный может пригодиться [b]Look2me-destroyer[/b]

[QUOTE]Вот он к Вам и лезет через папки...[/QUOTE]
Но откуда? Он не у меня, а у юриста. Больше его нигде нет.

[size="1"][color="#666686"][B]Добавлено через 50 секунд[/B][/color][/size]
Щас в безопасном проверю систему.

корзину пока не чистите!!!

[QUOTE]корзину пока не чистите!!![/QUOTE]
ОК

Если не сложно, называйте меня на ТЫ (для всех). Не привык на ВЫ.

[size="1"][color="#666686"][B]Добавлено через 35 минут[/B][/color][/size]
2 BackDoor.Voqa, которые я сам ставил. Вообщем это клиентская часть утилиты для удаленного администрирования Poison Ivy.

Trojan.Packed.76 (C:\WINDOWS\nqha.exe)

Удалил. AVZ ничего не нашел, кроме ошибок в SPI/LSP. Их я исправил, срадствами AVZ.

После перезагрузки AVZ опять нашел этот же троян, в этом же месте, но с другим именем. Т.ж. в SPI/LSP опять добавились записи трояна.

По результатам анализа
avz00001.dta - SpamTool.Win32.Agent.u - новый
avz00002.dta - Trojan.Win32.Agent.afg
Кто есть кто не знаю. Думаю, это еще не все.

Что делать?

[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
Я эту систему уже вдоль и поперек вылизал, ничего нет, кроме найденного.
Но откуда dll'ка появляется после удаления понять не могу никак.
В автозапуске чисто.
Даже такие проги как a-squared Free 3.0 и a-squared HiJackFree 3.0.0.385 молчат.
В AutoRuns от Марка Руссиновича тоже ничего подозрительного не обнаружил.

[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
[QUOTE]На всякий пожарный может пригодиться Look2me-destroyer[/QUOTE]
Запускаю, а там 2 кнопки и они заблокированы.

[QUOTE='Angel 2S2;121455']Запускаю, а там 2 кнопки и они заблокированы[/QUOTE]
Ставишь "галочку". Она перестартовывает и можно будет сделать сканирование. Оно не помешает.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\simp_dll.dll - [B]Trojan-Proxy.Win32.Pixoliz.fr[/B] (DrWEB: Trojan.Spambot)[*] c:\\windows\\system32\\syoewefsrtobq.dll - [B]Trojan.Win32.Msnetax.d[/B] (DrWEB: Trojan.Netqv)[/LIST][/LIST]