Trojan downloader.win32.agent

Printable View

01.05.2008, 04:30
Максим22

Вложений: 3

Trojan downloader.win32.agent

У меня проблема: Когда захожу в WoW появляется окно c предупреждением что обнаружен [B]Trojan downloader.win32.agent variant. [/B]Проверял касперским, нодом, они его невидят.
01.05.2008, 06:07
Синауридзе Александр

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
end.[/CODE]

Что-то я ничего интересного не вижу. А можно увидеть скриншот с сообщением?
01.05.2008, 06:40
Максим22

Вложений: 1

скриншот
01.05.2008, 07:00
Синауридзе Александр

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('vistaui.exe','');
QuarantineFile('kdexz.exe','');
QuarantineFile('WCamRmv.exe','');
QuarantineFile('C:\WINDOWS\system32\PnkBstrA.exe','');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22321[/url]
01.05.2008, 16:20
Максим22

Скрипт выполнил, карантин отправил.
01.05.2008, 17:25
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\kdexz.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Можно еще вот эти строчки пофиксить, но это уже так, для порядка:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
01.05.2008, 18:11
Максим22

Вложений: 3

Проблема решена, большое вам спасибо!
01.05.2008, 18:31
Bratez

Файл удалился, а в реестре след остался.
Выполните такой скрипт:
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
end.[/code]
Кроме трех вышеупомянутых строчек в Hijack'e ничего плохого больше не вижу.
22.02.2009, 05:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kdexz.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.14)[/LIST][/LIST]