просьба помочь разобраться
Касперский пишет, что подхватил Trojan-Proxy.Win32.Agent.mj
Printable View
просьба помочь разобраться
Касперский пишет, что подхватил Trojan-Proxy.Win32.Agent.mj
В AVZ выполнить скрипт:
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\??\C:\WINDOWS\System32\drivers\xinstall.sys','');
QuarantineFile('C:\WINDOWS\System32\wcescom32.exe','');
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин по форме, согласно Правил.
Система "решето". Надо бы поставить SP2 с решением вопроса с активацией Виндов.
выполнил, выслал
[QUOTE=Kapiton;102381]выполнил, выслал[/QUOTE]
C:\WINDOWS\System32\wcescom32.exe не дошел.
Видимо, антивирус Касперского мешает. Попробуем выполнить скрипт в AVZ:
[code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\System32\wcescom32.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
end.
[/code]
Перезагрузите компьютер.
Поставьте антивирус Касперского на паузу.
Заархивируйте файл из карантина по Правилам.
Включите антивирус Касперского.
Пришлите архив карантина через ссылку [url]http://virusinfo.info/upload_virus.php?tid=8789[/url]
а файл boot_clr.log из папки AVZ приложите к своей теме.
готово
C:\WINDOWS\System32\wcescom32.exe - Trojan-Proxy.Win32.Agent.mj (по Касперскому). В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строки: [code]O4 - HKLM\..\Run: [ActiveSync] C:\WINDOWS\System32\wcescom32.exe
O4 - HKCU\..\Run: [ActiveSync] C:\WINDOWS\System32\wcescom32.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\eied_s7.cab');
DeleteFile('c:\windows\system32\wcescom32.exe');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п. 10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
пофиксил, выполнил, сделал
По логам, данный конкретный троян удален. Попал он к вам, вероятно, через зараженный сайт - [url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=112169[/url] - очень похожий способ заражения описан, да и файлик у вас такой был на машине. Касперский больше не ругается?
На будущее, крайне рекомендуется поставить SP2 + все последующие обновления. В вашем случае, после установки SP2 , потребуется повторная активация Windows. Если Касперский для Windows workstations у вас легальный, его тоже хорошо бы обновить до актуальной версии - Версия 6.0.2.678.
премного благодарен!
как он попал - я честно не в курсе, может и через сайт.
да, антивирус молчит и он вроде как вполне легален Ж)
приму к сведению Ваши рекомендации,
ещё раз спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wcescom32.exe - [B]Net-Worm.Win32.Agent.d[/B] (DrWEB: Trojan.DownLoader.19970)[/LIST][/LIST]