Trojan.Win32.Agent.qoa

Каспер находит Trojan.Win32.Agent.qoa
Модуль svchost.exe\svchost.exe
Но действия предлагает только пропустить.....
Подсобите пожалуйсто.

Спасите плиз работа горит а в пятницу это просто ужас )))

Вставьте драйв D:\ (не знаю, что это у Вас, но он должен быть на время лечения подключен)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\i386kd.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
DeleteService('Djo16');
DeleteService('Jpu06');
DeleteService('Ubg51');
DeleteService('tcpsr');
DeleteService('Yfl20');
DeleteService('Yfk05');
QuarantineFile('C:\WINDOWS\system32\Drivers\Yfl20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yfk05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg51.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\i386kd.exe','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf');
DeleteFile('c:\windows\system32\i386kd.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Djo16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpu06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ubg51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yfk05.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Yfl20.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
-Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
-Повторите логи.

Карантин выслал.
Проблемма не пропала.
В отключении востановления системы неактовно окно где надо ставить птичку для отключения.....
а drive D это диск винчестер....
логи прилепил....

Поищите через АВЗ файл
[CODE]msupdate.sy*[/CODE]
так и задать с маской *
Если найдете - пришлите по правилам (приложения 2 и 3)
Скрипт 2
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
QuarantineFile('msupdate.sys','');
QuarantineFile('c:\windows\system32\msupdate.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msupdate.sys','');
QuarantineFile('c:\windows\system32\dllservice.dll','');
DeleteFile('c:\windows\system32\dllservice.dll');
DeleteFile('c:\windows\system32\drivers\msupdate.sys');
DeleteFile('c:\windows\system32\msupdate.sys');
DeleteFile('msupdate.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После ребута
- карантин закачать
- скачайте [url]www.malwarebytes.org[/url], обновите базы, просканируйте ПК
- потом только АВЗ-логи в студию.

карантин выслал.проверку сделаю и вышлю логи....

Вот логи АВЗ.....

В логах АВЗ проблем не вижу. Закачайте лог malwarebytes, плиз.

Щас будет...(в первый раз лог не сохранил... опять сканю....)
Основная проблемма из за которой обратился за помощью: При попытке открытия общего доступа к подключению к инету(сквозняком на всю локалку)
Пишет: Указанная служба не установленна..... Вроде все нужные службы есть и работают.....
Может ли это быть деструктивом от вируса???

Вот ЛОГ:

незнаю какой именно нада.....

Есть решение проблемы?
или перестановка ВИНДЫ ?

[QUOTE=BoozyWoozy;248724]Есть решение проблемы?[/QUOTE]так вроде удалилось все зловредное.
Если карантин Малваребайтс сохранился - закачайте его по правилам (приложение 3), плиз.

Карантин выслал.....
В папке с\виндовс\тэмп
постоянно появляются файлы которые каспер называет :
(троянская программа Backdoor.Win32.IRCBot.csk Файл: C:\windows\temp\8.sys)
(троянская программа SpamTool.Win32.Small.z Файл: C:\WINDOWS\Temp\1.tmp)
Файлы (1,2,3,4..... (tmp... или sys...)
Каспер убивает но они снова после ребута появляются.....

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Всё сделал.....

Логи чистые. Каспер по-прежнему находит зловредов?

Да. в папке темп: 1.....8.sys и tmp

[QUOTE=BoozyWoozy;249357]Да. в папке темп: 1.....8.sys и tmp[/QUOTE]Найдите эти файлы по приложению 2 правил и закачайте по приложению 3 правил.

выслал....