Win32/TrojanDownloader.Agent.BRK

Помогите , пожалуйста, избавится от вируса! NOD32 определяет его как Win32/TrojanDownloader.Agent.BRK, при этом в корне диска C: постоянно появляются файлы без расширения с именен состоящим из цифр размером 0 байт.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstscex.dll','');
QuarantineFile('C:\Documents and Settings\Goof\svchost.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\Documents and Settings\Goof\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12275[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe [/CODE]

что из этого вам нужно?остальное поправим
[QUOTE]> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/QUOTE]

[QUOTE]что из этого вам нужно?остальное поправим
Цитата:> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]

вроде бы ничего не нужно, кроме планировщика заданий. а что нужно сделать, чтобы отключить эти службы?

[quote=goof;132648]вроде бы ничего не нужно, кроме планировщика заданий. а что нужно сделать, чтобы отключить эти службы?[/quote]
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
RebootWindows(true);
end.[/code]

но это так, на десерт, надо сначала выполнить что указали . у вас скорее вирус, даже winlogon патчили.

я сделал всё как вы сказали, теперь всё должно быть в порядке или что-то еще необходимо предпринять?

[QUOTE]у вас скорее вирус, даже winlogon патчили.[/QUOTE]

и что мне с этим делать?

[quote=goof;132651]я сделал всё как вы сказали, теперь всё должно быть в порядке или что-то еще необходимо предпринять?



и что мне с этим делать?[/quote]
Диск с XP имеется ?

да, конечно

[B]winlogon.exe [/B]действительно патченный (Trojan.Win32.Patched.q).
Возможные варианты:
а) взять установочный диск Windows XP, загрузить консоль восстановления и заменить c:\windows\system32\winlogon.exe.
б) если с этим затрудняетесь, установите пробную версию антивируса Касперского, он это умеет лечить.

.

попробую через консоль восстановления, потом отпишусь.
кроме этого ничего делать не нужно?

в этот раз пролечить 7 каспером не удалось, наверное не добавили алгоритм для вашего экземпяра.нажимаю лечить вирус, а потом он говорит только удалить ;(
из присланного:

Trojan.Win32.Patched.q
вирус Packed.Win32.PolyCrypt.d

[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]

После восстановления оригинальных файлов, сделать новые логи и прикрепить к теме, посмотрим результаты ;)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

я бы так сделал, на всякий случай: пуск--выполнить--cmd--sfc /scannow

так может ещё патченные найдутся ;)

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

C:\WINDOWS\system32\mstscex.dll -в карантин не попал(поспешили видать с выполнением), в ручную поместить и прислать по пункту 2 правил.

мне не удается запустить консоль восстановления системы! если другой способ заменить winlogon.exe?
выполнение команды sfc /scannow никаких результатов не дало, как их можно посмотреть?
C:\WINDOWS\system32\mstscex.dll высылал

copy D:\1386\winlogon.ex_ C:\windows\system32\winlogon.exe /y


вместо D, заменить от вашего СД, где диск с ХП положили

Можно попробовать так:
1. В дистрибутиве находим файл winlogon.ex_
2. Переименовываем его в winlogon.zip
3. Распаковываем архиватором (например: C:\winlogon.exe)
4. В AVZ выполняем скрипт:
[CODE]
begin
BC_CopyFile('C:\winlogon.exe','c:\windows\system32\winlogon.exe');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[B]drongo[/B], D:\1386\winlogon.ex_ вроде упакованный.

вот так можно распаковать файл из дистрибутива
Пуск--выполнить--cmd
expand x:\i386\winlogon.ex_ y:\windows\system32\winlogon.exe
x - буква CD, y - буква диска с windows xp

вроде бы всё сделал, высылаю логи
[QUOTE]drongo, D:\1386\winlogon.ex_ вроде упакованный.[/QUOTE]
действительно упакованный, пришлось восстанавливать систему, но вроде всё обошлось

Забавно, похоже ещё троян восстановился, выполнить и прислать.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');

BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]

выслал, что дальше?

[quote=goof;132679]выслал, что дальше?[/quote]

это то что подозревал : троянская программа Trojan.Win32.Pakes.cj (kaspersky)
[B] лечение:[/B]
1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]R3 - Default URLSearchHook is missing
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone[/code]

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/code]


Сделать новые логи, как в первом вашем сообщении.

всё сделал, но в HijackThis строчки которые начинаются с O15 после того как пофиксил появляются снова, это нормально? И всё ли теперь в порядке или необходимо еще что-то сделать?

и еще не могу почему то приложить файл virusinfo_syscure.zip, пишет, что я его уже выкладывал и после выполнения скрипта лог не обновился

в логах чисто...
выполните скрипт ...
[code]
begin
ExecuteRepair(6);
RebootWindows(true);
end.
[/code]
после попробуйте профиксить... строчки которые начинаются с O15