Win.32/Agent.NVL троян

Printable View

10.03.2009, 13:59
t_raven

Win.32/Agent.NVL троян

Выскакивает ошибка system.exe, сразу после этого нод ловит эту гадость.
10.03.2009, 14:37
PavelA

Базы AVZ надо обновить.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-3896824509-4810988776-193405926-5436\mwau.exe','');
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
TerminateProcessByName('c:\windows\system\msile.exe');
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('c:\windows\system32\system.exe','');
QuarantineFile('c:\windows\system\msile.exe','');
DeleteFile('c:\windows\system\msile.exe');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-3896824509-4810988776-193405926-5436\mwau.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Прислать карантин по Правилам.

Желательно проверить флешки, если есть, на предмет "зверья".
10.03.2009, 15:13
t_raven

Базы обновил, карантин прислал.
Во время второй проверки НОД рвал и метал, нашел большую кучу троянов и что-то еще. Изначальной проблемы с system.exe уже не было.
Логи прикрепляю.
10.03.2009, 15:17
PavelA

Восстановление системы: включено - а почему вот это включено?
На время наших проверок а/вирус надо отключать.
10.03.2009, 15:19
t_raven

Моя невнимательность и дубиноголовость, прошу прощения. Карантин ноду удалить не дал. Что мне следует сделать сейчас?
10.03.2009, 15:28
PavelA

Временные файлы почистить.

Флешки проверить, автозапуск с них отключить.

Обновления всего и всея поставить.

В логах я особо плохого не увидел.

Можно еще НОД после этого всего запустить на полную проверку , предварительно удалив карантин AVZ.
11.03.2009, 15:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\абрамцево\local settings\temporary internet files\content.ie5\xa2cm2ov\a[1].exe - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\documents and settings\абрамцево\local settings\temporary internet files\content.ie5\xa2cm2ov\a[2].exe - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\windows\system32\drivers\sysdrv32.sys - [B]Worm.Win32.AutoRun.ezt[/B]( BitDefender: Trojan.Agent.ALRI )[/LIST][/LIST]