Троян. Win32 Agent-QTR

Printable View

04.01.2010, 17:33
Gena77

Троян. Win32 Agent-QTR

Найден сразу, после установки avasta...
После удаления в хранилище, моментально проявляется и находиться снова avastom.
04.01.2010, 17:42
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\Secret.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('c:\windows\userinit.exe','');
QuarantineFile('c:\windows\system32\system.exe','');
TerminateProcessByName('c:\windows\system32\system.exe');
DeleteFile('c:\windows\system32\system.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
04.01.2010, 18:21
Gena77

По красной ссылке отправлен предыдущий zip.
04.01.2010, 18:42
snifer67

Пофиксить в HijackThis
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exe
[/code]
ПК перезагрузите.

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\system.exe');
TerminateProcessByName('c:\windows\userinit.exe');
DeleteFile('c:\windows\userinit.exe');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('F:\Secret.exe');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
04.01.2010, 19:51
Gena77

Пофиксил. С перезагрузкой уже были какие-то проблемы.
После выполнения скрипта ноут перестал выходить в работу.
Останавливается на предложении выбрать админа или пользователя, после выбора сразу идет в сохранение данных перед закрытием Windы...
В безопасном режиме всё то же.
Пишу уже с другого компа.

У меня уже была тут тема, с другим компом. Была та же самая проблема, после выполнения скрипта. Только там была возможность подцепить другой диск, да и CD-рум был. А что теперь делать с маленьким Асусом? У него СD нету...:unsure:
04.01.2010, 19:59
snifer67

Во время загрузки нажмите F8, выберите загрузку с последней удачной конфигурацией.
04.01.2010, 20:07
Gena77

Так восстановление то тоже отключено...
Не работает.
04.01.2010, 20:29
snifer67

Создайте [url=http://www.freedrweb.com/livecd/how_it_works/]DrWeb livecd[/url] (по ссылке рассказано как сделать LiveCD в картинках), загрузитесь с этого диска с создайте загрузочную "флешку"
[QUOTE]Создание загрузочного флэш-накопителя автоматически
1. В графической оболочке нажмите значок программы Create Live USB на рабочем столе:
Программа перейдет в режим ожидания подключения устройства через USB-порт.
2. Подключите флэш-накопитель. Регистрация события подключения занимает максимум десять секунд.
Копирование файлов начнется автоматически. Если на подключенном флэш-накопителе несколько разделов, файлы LiveCD будут записаны на тот раздел, который является загружаемым, у остальных разделов флаг bootable снимается.
[B]Создание загрузочного флэш-накопителя вручную[/B]
1. Откройте терминал для работы в командной строке одним
из следующих способов:
- в графической оболочке нажмите значок терминала на рабочем столе;
- в safe mode выберите в главном меню пункт Start Shell.
2. (Необязательно.) Для проверки подключенных к компьютеру дисков, а также разделов на флэш-накопителях запустите команду mount: /bin/mount или просто mount.
3. Выполните команду create_usb [device] или CreateLiveUSB [device].
Например, create_usb sda1[/QUOTE]
Загрузитесь на больном ПК с этого флеш-накопителя (лучше загрузится в DrWeb LiveCD safe mode), в меню выбрать Midnight Commander (файловый менеджер, аналог FAR или нортон командера), в корне в самом низу найдете папку Win внутри ее ваши диски, скопируйте файл из c:\windows\system32\userinit.exe в папу c:\windows и перезагрузите ПК.
04.01.2010, 22:04
Gena77

Одно не понятно, как заставить работать автозапуск с флешки?...
04.01.2010, 22:24
snifer67

При перезагрузке посмотреть на экран, должно быть что-то типа "boot menu" и кнопка куда нажимать чтоб это меню появилось, нужно нажать эту кнопку, появится менеждер загрузки, из списка выбрать вашу флешку.
04.01.2010, 22:30
Gena77

В том и есть проблема. На большом компе это есть, вовремя нажатая Del приведет к возможности сменить приоритет. На ноуте нету. Только черный экран, а там уже сразу варианты загрузки Windы...
Я пока в замешательстве.
04.01.2010, 22:50
kps

В консоль восстановления можете загрузиться? [url]http://support.microsoft.com/kb/314058/ru[/url]
Вам нужно скопировать чистый файл userinit.exe из дистрибутива (или с другой такой же системы) или можно попробовать из папки на этом нетбуке c:\windows\system32\dllcache в папку c:\windows\system32. И на всякий случай временно в c:\windows
05.01.2010, 01:08
Gena77

Единственное, чего я добился за это время, так это то, что ноут пытается запуститься с флешки, в виду отсутствия СD-рума.
Я уже создал загрузочный флеш-накопитель, заставил бук начинать загрузку с USB, да только почему-то мне пишут: could not find kernel image: linux. И ни фига не запускается.
При чем тут Linux?! У меня ХР стоит!
Ребят, че за хрень?

Внимательно изучив описание предложенного [B]DrWeb livecd[/B] нашел маленькую оговорку [B][I]Dr.Web LiveCD поставляется в виде загрузочного диска с переносной операционной системой на базе Linux...[/I][/B]
Жаль, да и вечер потрачен без пользы для ноутика...

А есть ли такой вариант запуска ОС для ХР?
05.01.2010, 02:32
kps

Вот это м.б. Вам поможет: [url]http://www.winblog.ru/winxp/1147765025-15020801.html[/url]
07.01.2010, 17:57
Gena77

Да, что-то ни фига не выходит каменный цветок... Всё проверил, файл на месте, с запятой. Что дальше, систему переставлять?
07.01.2010, 21:45
thyrex

Размер файла userinit.exe в папке system32 какой?
09.01.2010, 12:03
Gena77

Извините, праздники, уехал на ненадолго. Вернусь, обязательно продолжу восстановление нетбука и, естественно, тему. :rolleyes:
10.01.2010, 12:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\system.exe - [B]Trojan-Downloader.Win32.Agent.btlp[/B] ( DrWEB: BackDoor.Bulknet.419, BitDefender: Win32.Worm.Autorun.GE, AVAST4: Win32:Agent-QTR [Trj] )[*] c:\windows\userinit.exe - [B]Trojan-Downloader.Win32.Agent.btlp[/B] ( DrWEB: BackDoor.Bulknet.419, BitDefender: Win32.Worm.Autorun.GE, AVAST4: Win32:Agent-QTR [Trj] )[*] f:\secret.exe - [B]Trojan-Downloader.Win32.Agent.btlp[/B] ( DrWEB: BackDoor.Bulknet.419, BitDefender: Win32.Worm.Autorun.GE, AVAST4: Win32:Agent-QTR [Trj] )[/LIST][/LIST]