Здравствуйте помогите вылечить троян Win32/TrojanDownloader.Agent находится в C:\DOCUME~1\psih\LOCALS~1\Temp\E_4\internet.fne
Printable View
Здравствуйте помогите вылечить троян Win32/TrojanDownloader.Agent находится в C:\DOCUME~1\psih\LOCALS~1\Temp\E_4\internet.fne
а по моему, где-то ещё тоже :)
Отключить восстановление системы, антивирус и интернет -подключение.
выполните скрипт@ avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\XP-11078030.EXE','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\memalloc.sys','');
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
DeleteFile('C:\WINDOWS\system32\XP-11078030.EXE');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(12);
ExecuteRepair(13);
ExecuteRepair(14);
ExecuteRepair(16);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
-пришлите карантин [url]http://virusinfo.info/upload_virus.php?tid=39768[/url] согласно приложения 3 правил.
-Почистите временные файлы.
-повторите логи
файл отправил, вот логи
установите AVZPM , повторите логи ...
ну, как проблемы ?
212.44.130.6- этот IP вам знаком ?
sp3 и остальные заплатки ставить, иначе черви загрызут ;)
у вас случаем spywaredoctor установлен ? mc21.tmp от него обычно.
проблемы прошли, мой нод молчит, а про ip не знаком, спасибо огромное
нет spywaredoctor не установлен
[QUOTE=psihil;349655]проблемы прошли[/QUOTE]
севетую все же установить авзпм и повторить логи
[quote=psihil;349655] про ip не знаком, спасибо огромное
нет spywaredoctor не установлен[/quote]
тогда пофиксить в hijackthis:
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5ADDB7-A2A8-4177-B97E-EB94BABFF3A7}: NameServer = 212.44.130.6[/code]
выполнить скрипт в avz: (это для установки avzpm)
[code]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
и повторить логи как уже сказал V_Bond ;)
[QUOTE=V_Bond;349649]..... повторите логи ...[/QUOTE]
повторил
это ваш провайдер ?
formely Sovam Teleport/Teleross
remarks: aka Golden Telecom
address: Krasnokazarmennaja, 12
address: Moscow, Russia
[QUOTE=V_Bond;349672]это ваш провайдер ?
formely Sovam Teleport/Teleross
remarks: aka Golden Telecom
address: Krasnokazarmennaja, 12
address: Moscow, Russia[/QUOTE]
да
[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]
[QUOTE=drongo;349670]тогда пофиксить в hijackthis:
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5ADDB7-A2A8-4177-B97E-EB94BABFF3A7}: NameServer = 212.44.130.6[/QUOTE]
после этого перестал работать инет, вернул все обратно
тогда 212.44.130.6 ваш днс и его фиксить не стоит ....
подозрительного больше ничего не вижу ...
тогда всем большое спасибо
ну, а кого я спрашивал тогда ? Сами сказали : не знаком ...
ip своего провайдера надо знать ;)
ждём новых логов с активированным авзпм, потом удалить надо его, чтоб не мешался.
ну я же повторил логи с активированным авзпм выше или????
[quote=psihil;349686]ну я же повторил логи с активированным авзпм выше или????[/quote]
Да, верно :) Это я на старые глядел :D
Теперь удалим, вот скрипт для удаления avzpm
[code]
begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.[/code]
осталось лишь sp3 и остальные заплатки ставить .
&
[url]http://virusinfo.info/showthread.php?t=30339[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]