Win32:Agent-VGV

Printable View

05.08.2008, 23:41
MariaM

Вложений: 3

Win32:Agent-VGV

Уже читала именно здесь про то же самое.
Каждый раз включаю комп - аваст обнаруживает вирус Win32:Agent-VGV. Но видимо не удаляется то, что его "генерирует". Потому что имя файла каждый раз новое, папка одна и та же.
И с почтой какие-то проблемы начались. То отправляется, то нет, то получается, то нет. Пишет - не может выполнить, потому что аваст занят:O
05.08.2008, 23:44
Гриша

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxp86');
DeleteService('Winui48');
DeleteService('Winmu57');
DeleteService('Winjp63');
DeleteService('Winhi41');
DeleteService('Wingp07');
DeleteService('Wingk74');
DeleteService('Wineu01');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxp86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winui48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmu57.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhi41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingp07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wineu01.sys','');
DeleteService('Winmt24');
DeleteService('Winkh55');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkh55.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkh55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmt24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineu01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingp07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhi41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmu57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winui48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxp86.sys');
DeleteFile('WinCtrl32.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
06.08.2008, 00:27
MariaM

Вложений: 3

Надеюсь с каратнином ничего не напутала:>
06.08.2008, 01:23
Aleksandra

1. Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL]
2. Запустите, слева внизу нажмите File, затем найдите:

[QUOTE]C:\WINDOWS\System32\Drivers\Winif01.sys[/QUOTE]
и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]

3. Отключите восстановление системы и антивирус.
4. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winif01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winif01.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!

5. [URL="http://virusinfo.info/showthread.php?t=4491"] Пофиксите в HijackThis:[/URL]

[quote]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/quote]6. Повторите логи.
06.08.2008, 15:17
MariaM

[quote=Aleksandra;263953]1. Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL]
2. Запустите, слева внизу нажмите File, затем найдите:

C:\WINDOWS\System32\Drivers\Winif01.sys
и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]

[/quote]
Не нашла.:>Его там нет:O:?Этого Winif01.sys
06.08.2008, 15:20
Гриша

Повторите логи...
06.08.2008, 15:52
MariaM

Вложений: 3

Вот
06.08.2008, 15:55
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winif01');
DeleteFile('C:\WINDOWS\System32\Drivers\Winif01.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winif01');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи с п.10 правил...
06.08.2008, 16:16
MariaM

Вложений: 2

Вот
06.08.2008, 16:21
Гриша

В логах чисто,жалобы есть?
06.08.2008, 16:29
MariaM

Почта не отправляется. Но это может не от того
22.02.2009, 06:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\winmt24.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aur[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]