Win32/TrojanDownloader.Agent.BRK

Помогите , пожалуйста, избавится от вируса! NOD32 определяет его как Win32/TrojanDownloader.Agent.BRK, при этом в корне диска C: постоянно появляются файлы без расширения с именен состоящим из цифр размером 0 байт.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstscex.dll','');
QuarantineFile('C:\Documents and Settings\Goof\svchost.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\Documents and Settings\Goof\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12275[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe [/CODE]

что из этого вам нужно?остальное поправим
[QUOTE]> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/QUOTE]

[QUOTE]что из этого вам нужно?остальное поправим
Цитата:> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]

вроде бы ничего не нужно, кроме планировщика заданий. а что нужно сделать, чтобы отключить эти службы?

[quote=goof;132648]вроде бы ничего не нужно, кроме планировщика заданий. а что нужно сделать, чтобы отключить эти службы?[/quote]
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
RebootWindows(true);
end.[/code]

но это так, на десерт, надо сначала выполнить что указали . у вас скорее вирус, даже winlogon патчили.

я сделал всё как вы сказали, теперь всё должно быть в порядке или что-то еще необходимо предпринять?

[QUOTE]у вас скорее вирус, даже winlogon патчили.[/QUOTE]

и что мне с этим делать?

[quote=goof;132651]я сделал всё как вы сказали, теперь всё должно быть в порядке или что-то еще необходимо предпринять?



и что мне с этим делать?[/quote]
Диск с XP имеется ?

да, конечно

[B]winlogon.exe [/B]действительно патченный (Trojan.Win32.Patched.q).
Возможные варианты:
а) взять установочный диск Windows XP, загрузить консоль восстановления и заменить c:\windows\system32\winlogon.exe.
б) если с этим затрудняетесь, установите пробную версию антивируса Касперского, он это умеет лечить.

.

попробую через консоль восстановления, потом отпишусь.
кроме этого ничего делать не нужно?

в этот раз пролечить 7 каспером не удалось, наверное не добавили алгоритм для вашего экземпяра.нажимаю лечить вирус, а потом он говорит только удалить ;(
из присланного:

Trojan.Win32.Patched.q
вирус Packed.Win32.PolyCrypt.d

[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]

После восстановления оригинальных файлов, сделать новые логи и прикрепить к теме, посмотрим результаты ;)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

я бы так сделал, на всякий случай: пуск--выполнить--cmd--sfc /scannow

так может ещё патченные найдутся ;)

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

C:\WINDOWS\system32\mstscex.dll -в карантин не попал(поспешили видать с выполнением), в ручную поместить и прислать по пункту 2 правил.

мне не удается запустить консоль восстановления системы! если другой способ заменить winlogon.exe?
выполнение команды sfc /scannow никаких результатов не дало, как их можно посмотреть?
C:\WINDOWS\system32\mstscex.dll высылал

copy D:\1386\winlogon.ex_ C:\windows\system32\winlogon.exe /y


вместо D, заменить от вашего СД, где диск с ХП положили

Можно попробовать так:
1. В дистрибутиве находим файл winlogon.ex_
2. Переименовываем его в winlogon.zip
3. Распаковываем архиватором (например: C:\winlogon.exe)
4. В AVZ выполняем скрипт:
[CODE]
begin
BC_CopyFile('C:\winlogon.exe','c:\windows\system32\winlogon.exe');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[B]drongo[/B], D:\1386\winlogon.ex_ вроде упакованный.

вот так можно распаковать файл из дистрибутива
Пуск--выполнить--cmd
expand x:\i386\winlogon.ex_ y:\windows\system32\winlogon.exe
x - буква CD, y - буква диска с windows xp

вроде бы всё сделал, высылаю логи
[QUOTE]drongo, D:\1386\winlogon.ex_ вроде упакованный.[/QUOTE]
действительно упакованный, пришлось восстанавливать систему, но вроде всё обошлось

Забавно, похоже ещё троян восстановился, выполнить и прислать.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');

BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]

выслал, что дальше?

[quote=goof;132679]выслал, что дальше?[/quote]

это то что подозревал : троянская программа Trojan.Win32.Pakes.cj (kaspersky)
[B] лечение:[/B]
1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]R3 - Default URLSearchHook is missing
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone[/code]

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/code]


Сделать новые логи, как в первом вашем сообщении.

всё сделал, но в HijackThis строчки которые начинаются с O15 после того как пофиксил появляются снова, это нормально? И всё ли теперь в порядке или необходимо еще что-то сделать?

и еще не могу почему то приложить файл virusinfo_syscure.zip, пишет, что я его уже выкладывал и после выполнения скрипта лог не обновился

в логах чисто...
выполните скрипт ...
[code]
begin
ExecuteRepair(6);
RebootWindows(true);
end.
[/code]
после попробуйте профиксить... строчки которые начинаются с O15

все сделал, но строчки почему то остаются

ещё не пришёл результат по [B]mstscex.dll [/B],на вирустотал его детектит только аваст,поэтому подождём ответа от аналитиков ЛК.

хорошо, сообщите, пожалуйста, что нужно будет сделать в случае если это окажется вирус

[B]mstscex.dll[/B] - [COLOR="Blue"]Trojan-Downloader.Win32.Agent.bnm [/COLOR](с пылу,с жару по Касперскому)

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mstscex.dll');
BC_DeleteFile('C:\WINDOWS\system32\mstscex.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

И попробуйте пофиксить стоки,должно получиться.
После повторите логи.

возникла проблема! не могу запустить скрипт, программа avz выдает ошибку! приложил копию экрана, помогите пожалуйста

AVZ точно 4.27 ?

на сколько я понял , вы восстановили систему, там этого зверя не было ещё ;)

я не восстанавливал полностью систему, а только скопировал с дистрибутива виндовс XP файл winlogon.exe как вы мне и советовали. а потом начались проблемы с avz. может быть стоит попробовать вручную из под ДОСа удалить этот файл C:\WINDOWS\system32\mstscex.dll? решит ли это проблему? или всё же разобраться с avz?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE]AVZ точно 4.27 ?[/QUOTE]
да, проверил, версия именно 4.27

вот еще протокол который создает avz при выполнении скрипта

можно хоть руками ;)только желательно удалить регистрацию длл в виндоус.
[url]http://www.xp-vista.com/other/how-to-unregister-dll-files[/url]

P.s.

Ошибка в работе антируткита [Out of memory], шаг [11]-судя по этому памяти не хватает.
а вы закрыли все программы перед этим включая все десятки открытых окон оперы ?

я закрывал все программы, продолжает выдавать ошибку! сейчас удалю его вручную и попытаюсь выслать вам логи

[size="1"][color="#666686"][B][I]Добавлено через 43 минуты[/I][/B][/color][/size]

авз перестал создавать логи после выполнения стандартных скриптов!
при этом при проверке обнаружил два вируса и поместил на карантин, высылал вам файлы карантина. подскажите в чем может быть проблема с авз?

давайте попробуем такой скрипт....
[code]
begin
DeleteFile('C:\WINDOWS\system32\mstscex.dll');
BC_DeleteFile('C:\WINDOWS\system32\mstscex.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

последний скрипт выполнился без ошибок, но перед этим я вручную уже удалил C:\WINDOWS\system32\mstscex.dll. пробовал создать лог при помощи авз, но при выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" лог не создается! подскажите как мне быть, ведь я даже не могу прислать вам логи?! к тому же авз постоянно стал вносить в протокол сообщение "Ошибка в работе антируткита [Range check error], шаг [11]" которое раньше не появлялось, до того как я восстановил winlogon.exe. в чем может заключаться причина такого поведения авз?

выполните стандартный скрипт 6 ...
потом попрлбуйте сделать логи по правилам...
если не выйдет....
сделайте лог как сказано тут [url]http://virusinfo.info/showthread.php?t=10387[/url]

при выполнении стандартного скрипта 6 выдал ошибку "Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 20FFEBE4], шаг [9]" логи сохранить не удалось. сделал как написано тут [url]http://virusinfo.info/showthread.php?t=10387[/url] и приложил лог

живых зловредов не видно , остались следы их деятельности ....
скрипт...
[code]
begin
ExecuteRepair(8);
ExecuteRepair(16);
end.
[/code]
попробуйте выполнить логи ...

скрипт выполнил.
пытаюсь сохранить логи, но по-моему снова ничего не получится. очень беспокоит, что авз ни с того ни с сего стал неправильно работать!
к тому же в протоколе выдает сообщения по поводу неправильной работы антируткита (подробно приводил выше), а также сообщения вида:
Прямое чтение: C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение: C:\Document and Setings\Goof\Local Settings\Temp\JETB46D.tmp
нормально ли это?

З.Ы. логи попрежнему не сохраняются

[QUOTE='goof;132778']Прямое чтение: C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение: C:\Document and Setings\Goof\Local Settings\Temp\JETB46D.tmp
нормально ли это?[/QUOTE]
Это нормально. А глюки антируткита - нет.

а удалить AVZ и скачать снова не пробовали?строки O15 пофиксились?

удалил авз и скачал снова, глюки антируткита остались, логи попрежнему не сохраняет. строки O15 не пофиксились, что делать?

Раз с AVZ ничего не выходит, попробуем другие средства. Скачайте программу [URL="http://rkunhooker1.narod.ru/rkunhooker_v3/RkU3.30.150.400.rar"]RootKit Unhooker[/URL] сделайте ее лог и прикрепите.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Также неплохо было бы сделать лог [URL="ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe"]GetSystemInfo[/URL].