Trojan.Win32.Agent.qoa

Printable View

27.06.2008, 17:52
BoozyWoozy

Trojan.Win32.Agent.qoa

Каспер находит Trojan.Win32.Agent.qoa
Модуль svchost.exe\svchost.exe
Но действия предлагает только пропустить.....
Подсобите пожалуйсто.
27.06.2008, 18:04
BoozyWoozy

Спасите плиз работа горит а в пятницу это просто ужас )))
27.06.2008, 18:38
Rene-gad

Вставьте драйв D:\ (не знаю, что это у Вас, но он должен быть на время лечения подключен)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\i386kd.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
DeleteService('Djo16');
DeleteService('Jpu06');
DeleteService('Ubg51');
DeleteService('tcpsr');
DeleteService('Yfl20');
DeleteService('Yfk05');
QuarantineFile('C:\WINDOWS\system32\Drivers\Yfl20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yfk05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg51.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\i386kd.exe','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf');
DeleteFile('c:\windows\system32\i386kd.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Djo16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpu06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ubg51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yfk05.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Yfl20.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
-Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
-Повторите логи.
27.06.2008, 19:31
BoozyWoozy

Карантин выслал.
Проблемма не пропала.
В отключении востановления системы неактовно окно где надо ставить птичку для отключения.....
а drive D это диск винчестер....
логи прилепил....
27.06.2008, 19:53
Rene-gad

Поищите через АВЗ файл
[CODE]msupdate.sy*[/CODE]
так и задать с маской *
Если найдете - пришлите по правилам (приложения 2 и 3)
Скрипт 2
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
QuarantineFile('msupdate.sys','');
QuarantineFile('c:\windows\system32\msupdate.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msupdate.sys','');
QuarantineFile('c:\windows\system32\dllservice.dll','');
DeleteFile('c:\windows\system32\dllservice.dll');
DeleteFile('c:\windows\system32\drivers\msupdate.sys');
DeleteFile('c:\windows\system32\msupdate.sys');
DeleteFile('msupdate.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После ребута
- карантин закачать
- скачайте [url]www.malwarebytes.org[/url], обновите базы, просканируйте ПК
- потом только АВЗ-логи в студию.
30.06.2008, 09:39
BoozyWoozy

карантин выслал.проверку сделаю и вышлю логи....
30.06.2008, 10:49
BoozyWoozy

Вот логи АВЗ.....
30.06.2008, 11:19
Rene-gad

В логах АВЗ проблем не вижу. Закачайте лог malwarebytes, плиз.
30.06.2008, 11:54
BoozyWoozy

Щас будет...(в первый раз лог не сохранил... опять сканю....)
Основная проблемма из за которой обратился за помощью: При попытке открытия общего доступа к подключению к инету(сквозняком на всю локалку)
Пишет: Указанная служба не установленна..... Вроде все нужные службы есть и работают.....
Может ли это быть деструктивом от вируса???
30.06.2008, 12:15
BoozyWoozy

Вот ЛОГ:
30.06.2008, 12:17
BoozyWoozy

незнаю какой именно нада.....
30.06.2008, 13:57
BoozyWoozy

Есть решение проблемы?
или перестановка ВИНДЫ ?
30.06.2008, 13:59
Rene-gad

[QUOTE=BoozyWoozy;248724]Есть решение проблемы?[/QUOTE]так вроде удалилось все зловредное.
Если карантин Малваребайтс сохранился - закачайте его по правилам (приложение 3), плиз.
01.07.2008, 10:11
BoozyWoozy

Карантин выслал.....
В папке с\виндовс\тэмп
постоянно появляются файлы которые каспер называет :
(троянская программа Backdoor.Win32.IRCBot.csk Файл: C:\windows\temp\8.sys)
(троянская программа SpamTool.Win32.Small.z Файл: C:\WINDOWS\Temp\1.tmp)
Файлы (1,2,3,4..... (tmp... или sys...)
Каспер убивает но они снова после ребута появляются.....
01.07.2008, 10:17
Rene-gad

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
01.07.2008, 13:29
BoozyWoozy

Всё сделал.....
01.07.2008, 13:46
Rene-gad

Логи чистые. Каспер по-прежнему находит зловредов?
01.07.2008, 14:17
BoozyWoozy

Да. в папке темп: 1.....8.sys и tmp
01.07.2008, 14:41
Rene-gad

[QUOTE=BoozyWoozy;249357]Да. в папке темп: 1.....8.sys и tmp[/QUOTE]Найдите эти файлы по приложению 2 правил и закачайте по приложению 3 правил.
01.07.2008, 15:29
BoozyWoozy

выслал....
01.07.2008, 15:38
Rene-gad

Вынес Ваш топик на консилиум.
01.07.2008, 15:58
Alex_Goodwin

R-admin сами ставили?

Скачайте [URL="http://gmer.net/gmer.zip"]Gmer[/URL] и прикрепите лог.
01.07.2008, 17:10
Rene-gad

TNX @kps

Скрипт 3
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После ребута
- карантин закачать
- потом АВЗ-логи в студию.
01.07.2008, 19:41
BoozyWoozy

Спасибо за всё!
Но работа стояла и меня нагибали....
Снёс винду....
после этого каспер : удалено: троянская программа Trojan.Win32.Inject.dbw Файл: C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
01.07.2008, 19:51
Rene-gad

[QUOTE=BoozyWoozy;249514]
после этого каспер : удалено: троянская программа Trojan.Win32.Inject.dbw Файл: C:\Documents and Settings\All Users\Документы\Settings\abc32.dll[/QUOTE]
Это как? На новой системе сразу зверя нашел? :O
02.07.2008, 09:28
BoozyWoozy

я затер существующую копию винды чтобы хоть сохранить докисетинг......
там и нашел.....
02.07.2008, 18:11
Rene-gad

[QUOTE=BoozyWoozy;249752]я затер существующую копию винды чтобы хоть сохранить докисетинг......
там и нашел.....[/QUOTE]Понятно. Все-таки было бы хорошо для Вашей же пользы, переустановить винду начисто и установить Сервис Пак 3.
02.07.2008, 21:36
BoozyWoozy

[quote=Rene-gad;250035]Понятно. Все-таки было бы хорошо для Вашей же пользы, переустановить винду начисто и установить Сервис Пак 3.[/quote]

Да в принципе я непущу за тазик никого и всегото делов....
Но вы Парни выручаете оч крепко и вам за это респект!
а из остатков старых форточек я достал необходимый минимум ( после проверки Каспером и CureIT) и хлпнул остатки ....
а прос СП 3 я слышал отзывы не очень .... поэтому пока повременю.....
03.07.2008, 00:28
pig

Каждому своё. Вы хотя бы сотню заплаток безопасности на SP2 поставьте. Будет почти SP3.
03.07.2008, 13:26
BoozyWoozy

Автообновка работает....
или надо вручную?
04.07.2008, 04:31
pig

Автомата достаточно.
22.02.2009, 06:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\3.tmp - [B]SpamTool.Win32.Small.z[/B] (DrWEB: Trojan.EmailSpy.129)[/LIST][/LIST]