Win32: Agent-Aefo(Trj)

Саморазмножающиеся папки

Это круто :)

[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]

Ладно, посмеялись - и хватит. Чтобы мы могли Вам помочь, выполните [URL="http://virusinfo.info/pravila.html"]Правила[/URL].

Добрый вечер. Будьте добры, помогите с изгнанием "беса" с названием Win32: Agent-Aefo(Trj). Папки в директории D:\Documents and Settings\All Users\Документы появляются регулярно. Предыдущие посты на эту тему читал, пытался избавиться, но...

Что не по правилам? Подробно описать проблему? Я, к сожалению, чайник по компьютерным делам, так что не гневайтесь... Подсказка мне поможет сделать, как надо.

Первое сообщение было какое? Там ничего не понять! Теперь логи видно - работаем. Подождите немного.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]

[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
[b]- Обновите базы AVZ!!![/b]
- Сделайте повторные логи согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscheck.zip
[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

Старался делать всё по инструкции, если что не так, сорри

Что с проблемой?

Пока папки не появляются в том количестве. в котором лезли, но одна с названием Взлом чужого почтового ящика всё же влезла

[size="1"][color="#666686"][B][I]Добавлено через 45 секунд[/I][/B][/color][/size]

Но это до того, как все вышеописанные манипуляции сделали

Выполните ещё такой скрипт:
[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); {убрать web-папки}
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('BT', 3, 3, true);
RebootWindows(false);
end.[/CODE]

[QUOTE=gjf;498830]Выполните ещё такой скрипт:[/QUOTE]

Выполнил

...и вот теперь удалите все "новые" папки (только не переусердствуйте - удаляйте только то, что точно не нужно) и проследите, не возникают ли новые. Если возникнут - укажите в этой ветке, какие именно и что в них содержится.

[B]Как увеличить грудь в домашних условиях[/B] только что вылезло

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=gjf;498849]... какие именно и что в них содержится.[/QUOTE]
D:\Documents and Settings\All Users\Документы\Как увеличить грудь в домашних условиях
Thumbs.db
Каждая девушка мечтает о такой груди.jpg

[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I]

Прошу

В логах ничего вредоносного не обнаружено.

Какая дальше программа действий?

Зловредов не видно. В ту папку, которую Вы указали могут сохраняться файлы каких-то приложений, которые Вы запускаете - проверяйте настройки. Тем более, что качаются картинки, а не исполняемые файлы.

У Вас в браузерах не всплывали окна, Вы не ходили на сайты, в которых было содержание, как в папках?

Вот такие логи сделайте

[url]http://virusinfo.info/showthread.php?t=58309[/url]
[url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]

[QUOTE=gjf;498948]У Вас в браузерах не всплывали окна, Вы не ходили на сайты, в которых было содержание, как в папках?[/QUOTE]
Вполне может быть. Машины ещё пару детишек пользуют.

Ну тогда привет малышне :)
Скорее всего, что чисто, но для пущей уверенности выполните то, что попросил [B]thyrex[/B].

[QUOTE=gjf;498948]Тем более, что качаются картинки, а не исполняемые файлы.
[/QUOTE]
Антивирус реагирует остро на эти картинки. В некоторых папках были и исполняемые файлы *.exe

Тогда логи делать обязательно.

[QUOTE=thyrex;499272]Вот такие логи сделайте

[URL]http://virusinfo.info/showthread.php?t=58309[/URL]
[URL]http://virusinfo.info/showpost.php?p=457118&postcount=1[/URL][/QUOTE]
Вот, прошу

version.txt это несовсем от ComboFix'a :)

Сорри, сейчас найду нужный

Вот

Чисто. Детишкам дать по заднице :)
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ. И вообще, постарайтесь выполнить все советы, [URL="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/URL] - это максимально отдалит время нашей следующей с Вами встречи :)

Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]Combofix /u[/b], нажмите кнопку "[b]ОК[/b]"


Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите Clean up

Cпасибо, конечно, за помощь, но скажите, в машине были вирусы ? И с помощью чего Вы их убили? Интересно, блин...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 19 минут[/I][/B][/color][/size]

только что навалило в : D:\Documents and Settings\All Users\Документы
новые папки [B]Прослушивание разговоров в ICQ, IRC-чатах, Mail.Ru Agent, E-Mail[/B] ( папки E-Mail Sniffer, ICQ Sniffer, IRC Sniffer, Mail.Ru Agent Sniffer и файл SPYWare Sniffers.NET.txt) , [B]Как увеличить грудь в домашних условиях[/B] - это уже было выше.

Компьютер в локалке? Файлы появляются в расшаренных папках?

Да, компьютер в локалке. По поводу расшареных папок сказать не могу. Сам на системном диске ничего не расшаривал. Может по умолчанию они там как-то расшариваются.

[B]D:\Documents and Settings\All Users\Документы[/B] - это расшаренная папка Общих документов

Соответственно зараза лезет к Вам из локалки, я думаю

Да там не везде и не совсем зараза. Может, кто-то из кулхацкеров пытается что-то копировать.
Снимите доступ к папкам извне.

[QUOTE=gjf;499864]
Снимите доступ к папкам извне.[/QUOTE]
Если не затруднит Вас, подскажите, как это сделать?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=gjf;499864]Да там не везде и не совсем зараза. [/QUOTE]
Вот здесь вопрос: что значит не везде и не совсем? Спасибо.

На папках, в которых появляется зараза, кликните правой кнопкой мыши и выберите "Общий доступ и безопасность". Убедитесь, что галка не стоит на доступе - короче, должно быть как на рисунке.

Попробую. Спасибо. И,кстати, я нажал :-), не только написал.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]