win32/agent.nhd.exe

Printable View

09.12.2007, 17:21
Step

win32/agent.nhd.exe

Через некоторое время(небольшое) после загрузки,Nod сообщает, что обнаружен win32/agent.nhd.exe в dll-ке при доступе к ней totour.exe. Название DLL всё время разное. Слетают настройки сети. Если опять всё прописать вручную, то локалка появляется, интернет-нет. В autoruns в разделе winsock появляются записи с этой dll. Файл соответственно не found. Если убрать галочки, то после перезагрузки инет появляется и существует несколько секунд, до тех пор, пока Nod не прибивает dll, уже с другим именем. При сканировании ни Nod, ни CureIT, ни AVZ ничего не находят. Логи прилагаю.
09.12.2007, 18:21
rubin

В каком месте прилагаются логи?
09.12.2007, 18:29
Step

Вложений: 3

Вроде были. Сейчас еще раз попробую.
09.12.2007, 18:36
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\eqolfgywkvc.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Скачайте WinSockxpFix: [url]http://www.tacktech.com/pub/winsockfix/WinsockFix.zip[/url]
но пока не запускайте.
09.12.2007, 18:52
Step

Комп будет доступен только завтра, сделаю - отпишусь. WinsockFix брал отсюда: [url]http://www.veldhuizen.speedxs.nl/[/url] , это то-же самое?
09.12.2007, 18:57
Bratez

Да, это оно.
И еще: найдите дистрибутив своей версии Windows.
09.12.2007, 18:59
Step

Ок. Спасибо.
11.12.2007, 12:45
Step

Вчера не успел. Скрипт выполнил, карантин отослал.
11.12.2007, 14:12
V_Bond

ntkrnlpa.exe_, ntoskrnl.exe_ - [B]Trojan.Win32.Patched.au[/B] ....
лучше всего заменить на чистые из дистрибутива ....
11.12.2007, 14:23
Muzzle

файлы [B]ntkrnlpa.exe, ntoskrnl.exe[/B] патчены - [B][COLOR="Blue"]Trojan.Win32.Patched.au[/COLOR][/B]
1)Их нужно заменить,для этого вам и понадобиться дистрибутив с windows XP.
Заменить можно следующим образом

Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
и так же заменяем
expand x:\i386\ntkrnlpa.ex_ y:\windows\system32\ntkrnlpa.exe

2)С помощью AVZ делаем поиск файла [B]eqolfgywkvc.dll[/B](как это сделать можно узнать из моей подписи)
если найдётся то поместить в карантин с помощью AVZ и отправить по правилам.

3)Выполните скрипт :
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\eqolfgywkvc.dll');
BC_DeleteFile('C:\WINDOWS\system32\eqolfgywkvc.dll');
ExecuteSysClean;
ExecuteRepair(15);
BC_Activate;
RebootWindows(true);
end.[/CODE]
[B][COLOR="Red"][I]может пропасть интернет,тогда воспользуйтесь утилитой WinsockFix,предварительно запомнив настройки подключения,ибо WinsockFix их сбросит.[/I][/COLOR][/B]
11.12.2007, 14:30
Bratez

Уточнение к вышесказанному:
1. Отключите восстановление системы!
2. Скорее всего, указанные команды придется выполнять не в cmd а в консоли восстановления.
3. По окончании процедур обновите базы AVZ и сделайте новые логи.
11.12.2007, 15:57
Step

Вложений: 3

Файлы подменил. Сообщение исчезло, сеть не пропадает. В логах есть totour.exe в system32, но судя по тому,что он беззащитно валяется в папке, а не удаляется Explorerом, он не активен и его можно удалить даже руками. Eqolfgywkvc.dll искать бесполезно - это та самая dll, которая при каждой загрузке меняет имя и убивается Нодом. Выдрал из карантина Нода - название другое, но смысл тот-же, заархивировал AVZ, высылаю на всякий случай. Логи тоже.
11.12.2007, 16:05
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\totour.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ....
11.12.2007, 16:25
Step

Вложений: 3

Есть.
11.12.2007, 16:31
Bratez

Ну теперь чистота и порядок.
Отключите вот эти службы для профилактики:
[code]
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
[/code]
11.12.2007, 16:40
Step

Уже:). Спасибо.
12.12.2007, 01:40
Muzzle

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи!
22.02.2009, 03:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntkrnlpa.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2553)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2553)[*] d:\\temp\\virus\\rarlpkrqnwxuv.dll - [B]Trojan.Win32.Msnetax.l[/B] (DrWEB: Trojan.Vqten)[/LIST][/LIST]