win32.agent.pz и др.

Printable View

30.12.2007, 19:08
Kat_AS

Вложений: 3

win32.agent.pz и др.

Здравствуйте. У меня следующая проблема:
Spybot Search & Destroy: win32.agent.pz и Smitfraud-c.generic
Dr.Web Cure It: trojan.downloader.37508 и trojan.proxy.1824
Не могу их удалить. Помогите пожалуйста.
30.12.2007, 19:32
drongo

1.Нортон и инет отключить
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Amhooker.dll','');
QuarantineFile('C:\Documents and Settings\Kat_AS\DoctorWeb\Quarantine\A0039767.dll','');
QuarantineFile('C:\Documents and Settings\Kat_AS\DoctorWeb\Quarantine\certmgr.dll','');
QuarantineFile('C:\WINDOWS\system32\r7p18txr.exe','');
QuarantineFile('C:\WINDOWS\winstart.bat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
DeleteService('BITSFastUserSwitchingCompatibility',false);
DeleteFile('C:\WINDOWS\system32\r7p18txr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15825[/url]
30.12.2007, 20:03
Kat_AS

Все сделано
30.12.2007, 20:12
drongo

Поищите вот эти батники
C:\WINDOWS\tmpdelis.bat
C:\WINDOWS\tmpcpyis.bat
и пришлите нам.
30.12.2007, 20:33
Kat_AS

Файлы отправлены
30.12.2007, 21:57
rubin

A0039767.dll, certmgr.dll - Trojan-PSW.Win32.Delf.ald
Но их уже выловил ДрВеб...

Amhooker.dll, muangsys.dll, tcpip.sys, winstart.batd - чисты

Сделайте лог hijackthis и virusinfo_syscheck для проверки
30.12.2007, 22:52
Kat_AS

Вложений: 2

Файлы:
30.12.2007, 23:10
rubin

Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('A5366673-E8CA-11D3-9CD9-0090271D075B');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\alsndmgrr.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\system32\alsndmgrr.exe');
BC_ImportAll;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('BITSFastUserSwitchingCompatibility');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Пришлите новый карантин и лог hijackthis повторите...
30.12.2007, 23:27
Kat_AS

Скажите, карантин присылать только в последними двумя файлами (svchost.exe и alsndmgrr.exe) или весь?
30.12.2007, 23:32
V_Bond

присылайте последние 2 файла ....
30.12.2007, 23:38
Kat_AS

Вложений: 1

Карантин отправлен, вот лог:
30.12.2007, 23:43
rubin

Чисто, проблема решена?
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

>> Таймаут завершения служб находится за пределами допустимых значений
Сами ставили?
31.12.2007, 13:13
Kat_AS

[quote=rubin;165978]Чисто, проблема решена??[/quote]
При последнем сканировании сканеры ничего не нашли, так что, видимо, решена.

[quote]Что из этого не нужно?[/quote]
Компьютер домашний (с интернетом). Автозапуск нужен. Все остальное не знаю.

[quote]>> Таймаут завершения служб находится за пределами допустимых значений
Сами ставили?[/quote]
Нет, не я.
31.12.2007, 15:02
V_Bond

выполните скрипт(оставлен только автозапуск)
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
затем мастер поиск и исправления проблем ... Таймаут завершения служб ... исправить отмеченные проблемы ...
31.12.2007, 15:43
Kat_AS

Скрипт выполнен.
[quote=V_Bond;166118]затем мастер поиск и исправления проблем ... Таймаут завершения служб ... исправить отмеченные проблемы ...[/quote]
Можно поподробнее? Что за мастер?
31.12.2007, 17:52
zerocorporated

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
ExecuteWizard('TSW',1,1,true);
ExecuteWizard('BT',1,1,true);
end.
[/CODE]

Этот скрипт должен все исправить.

Рекомендуется прочитать книгу [URL="http://security-advisory.newmail.ru/EBook.htm"]"Безопасный Интернет Универсальная защита для Windows ME – Vista"[/URL]

Вы можете отблагодарить нас оказав помощь в [URL="http://virusinfo.info/showthread.php?t=3519"]пополнении базы безопасных файлов[/URL].
22.02.2009, 03:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\kat_as\\doctorweb\\quarantine\\a0039767.dll - [B]Trojan-PSW.Win32.Delf.ald[/B] (DrWEB: Trojan.KeyLogger.1484)[*] c:\\documents and settings\\kat_as\\doctorweb\\quarantine\\certmgr.dll - [B]Trojan-PSW.Win32.Delf.ald[/B] (DrWEB: Trojan.KeyLogger.1484)[/LIST][/LIST]