Вирус "Backdoor.Win32.Agent.angh"

Printable View

Показывать 40 сообщений этой темы на одной странице

03.12.2009, 01:08
Олежка

Вирус "Backdoor.Win32.Agent.angh"

Добрый день!!! KAV не удаляет вирус "Backdoor.Win32.Agent.angh". Подскажите пжл, что делать? Заранее благодарен.
03.12.2009, 02:08
Никита Соловьев

[QUOTE='Олежка;523841']Подскажите пжл, что делать?[/QUOTE]- Скачать [B][URL=http://www.z-oleg.com/avz4.zip]AVZ 4.32[/URL][/B]
- Обновить базы (файл - обновление баз)
- Сделать логи заново
03.12.2009, 16:55
Олежка

Сделал повторно.
03.12.2009, 17:00
snifer67

[b]Восстановление системы отключить.[/b]

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iSql\NB_8000.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1390067357-413027322-1177238915-500\Dc2606.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1390067357-413027322-1177238915-500\Dc2606.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
03.12.2009, 18:06
Олежка

Карантин.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Карантин
03.12.2009, 18:17
snifer67

Читаем еще раз.
[quote]Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы.[/quote]

Сделайте новые логи.
03.12.2009, 18:49
Олежка

Извините сразу не заметил!!!
03.12.2009, 19:02
snifer67

Чисто.Что с проблемой ?

Установите Internet Explorer 8
03.12.2009, 21:58
Олежка

Все чисто!!! Спасибо!!!

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 21 минуту[/I][/B][/color][/size]

Все-таки проблема осталась:
03.12.2009 20:48:44 Обнаружено: Trojan-Dropper.Win32.Agent.bixp c:\windows\system32\iSql\A027.exe
03.12.2009 20:48:47 Будет удалено при перезагрузке: Trojan-Dropper.Win32.Agent.bixp c:\windows\system32\iSql\A027.exe
03.12.2009 20:48:48 Обнаружено: Trojan-Dropper.Win32.Agent.bixp c:\windows\system32\iSql\A027.exe
03.12.2009 20:50:09 Обнаружено: Backdoor.Win32.PcClient.djdm c:\windows\system32\rrmetfc.dll
03.12.2009 20:50:11 Будет удалено при перезагрузке: Backdoor.Win32.PcClient.djdm c:\windows\system32\rrmetfc.dll
03.12.2009 20:50:11 Вылечено: Backdoor.Win32.PcClient.djdm HKLM\System\ControlSet003\Services\BITS\Parameters\ServiceDll
03.12.2009 20:50:11 Вылечено: Backdoor.Win32.PcClient.djdm HKLM\System\ControlSet004\Services\BITS\Parameters\ServiceDll
03.12.2009 20:50:12 Вылечено: Backdoor.Win32.PcClient.djdm HKLM\System\ControlSet005\Services\BITS\Parameters\ServiceDll
04.12.2009, 11:33
Олежка

И КАV лег, переустановка не помагает!
04.12.2009, 12:40
thyrex

Новые логи сделайте
04.12.2009, 15:43
Олежка

Новые логи!!
04.12.2009, 15:47
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\L5BS70XU\33[2].exe','');
QuarantineFile('C:\WINDOWS\Temp\331465.exe','');
QuarantineFile('C:\WINDOWS\Temp\02027.exe','');
QuarantineFile('C:\WINDOWS\system\ming9b090423.exe','');
TerminateProcessByName('c:\windows\sfevxx.exe');
QuarantineFile('c:\windows\sfevxx.exe','');
DeleteFile('C:\WINDOWS\system\ming9b090423.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ming9bstart');
DeleteFile('C:\WINDOWS\Temp\02027.exe');
DeleteFile('C:\WINDOWS\Temp\331465.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\L5BS70XU\33[2].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
04.12.2009, 17:02
Олежка

Каранти
04.12.2009, 17:09
snifer67

Карантин надо закачивать по правилам(уже не надо закачивать).

Сделайте новые логи.
04.12.2009, 17:30
Олежка

Извините пжл!! постоянно нет отключает!!!
Логи
04.12.2009, 17:40
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\sfevxx.exe','');
TerminateProcessByName('c:\windows\sfevxx.exe');
QuarantineFile('C:\WINDOWS\system32\dllcache\lsasvc.dll','');
QuarantineFile('C:\WINDOWS\TEMP\Attry.sys','');
DeleteFile('C:\WINDOWS\TEMP\Attry.sys');
DeleteFile('C:\WINDOWS\system\ming9b090423.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ming9bstart');
DeleteFile('C:\RECYCLER\S-1-5-21-1390067357-413027322-1177238915-500\Dc1033.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1390067357-413027322-1177238915-500\Dc1187.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1390067357-413027322-1177238915-500\Dc841.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1390067357-413027322-1177238915-500\Dc965.dll');
DeleteFile('C:\System Volume Information\_restore{7529AD9F-8977-4504-9FE6-460FDD2598D7}\RP11\A0020559.dll');
DeleteFile('C:\System Volume Information\_restore{7529AD9F-8977-4504-9FE6-460FDD2598D7}\RP11\A0020600.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\lsasvc.dll');
DeleteFile('c:\windows\sfevxx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
04.12.2009, 18:37
Олежка

логи
04.12.2009, 19:15
Олежка

карантин
[color=red]Moderated: он в теме совсем ни к чему[/color]
04.12.2009, 19:16
Олежка

вторую часть карантина не могу отправить размер 1,6м ..
04.12.2009, 19:36
pig

Глава кверху поднимите - красную ссылку над темой видите? Жмите и присылайте карантин одним файлом.
04.12.2009, 20:27
Олежка

Отправил.... :D как же вам тяжело!!! Спасибо вам оргомное за терпение!!!
04.12.2009, 21:15
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\dllcache\lsasvc.dll','');
QuarantineFile('C:\WINDOWS\innounp.exe','');
QuarantineFile('C:\WINDOWS\system\ming9b090423.exe','');
QuarantineFile('C:\WINDOWS\system32\Wip3bad.exe','');
QuarantineFile('C:\WINDOWS\system32\soaso.exe','');
QuarantineFile('C:\WINDOWS\System32\MsiSrv\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\phylock.sys','');
QuarantineFile('C:\WINDOWS\TEMP\Attry.sys','');
QuarantineFile('C:\WINDOWS\system\nb9ming32c090423.dll','');
QuarantineFile('C:\WINDOWS\system32\alb.exe','');
DeleteService('Switwlp');
DeleteService('d');
DeleteService('MsiSrv');
DeleteService('ALB');
DeleteFile('C:\WINDOWS\system\nb9ming32c090423.dll');
DeleteFile('C:\WINDOWS\TEMP\Attry.sys');
DeleteFile('C:\WINDOWS\system32\alb.exe');
DeleteFile('C:\WINDOWS\System32\MsiSrv\smss.exe');
DeleteFile('C:\WINDOWS\system32\soaso.exe');
DeleteFile('C:\WINDOWS\system32\Wip3bad.exe');
DeleteFile('C:\WINDOWS\system\ming9b090423.exe');
DeleteFile('C:\WINDOWS\innounp.exe');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
DeleteFile('C:\WINDOWS\system32\dllcache\lsasvc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ming9bstart');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Файл [I][B]quarantine.zip[/B][/I] [B]закачайте по ссылке [COLOR="Red"][U]прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.

Скачайте Virus Removal Tool (ссылка у меня в подписи) и выполните полную проверку!
Сделайте новые логи
05.12.2009, 00:13
Олежка

При проерке Virus Removal Tool - автоматически перегрузился, и теперь могу зайти только в безопасном режиме!!!! Что делать???
05.12.2009, 00:20
Никита Соловьев

[B]Отключите восстановление системы![/B]

[B]Выполните скрипт в AVZ:[/B]
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system\ming9b090423.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\lsasvc.dll','');
QuarantineFile('C:\WINDOWS\system32\fgqyh.dll','');
QuarantineFile('C:\WINDOWS\system32\hnfaa.dll','');
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\phylock.sys','');
QuarantineFile('C:\WINDOWS\Atvxx.exe','');
QuarantineFile('C:\WINDOWS\system32\USY37ACYEH\P001.exe','');
DeleteService('vxx');
DeleteService('360tray.exe');
DeleteFile('C:\WINDOWS\system32\USY37ACYEH\P001.exe');
DeleteFile('C:\WINDOWS\Atvxx.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\phylock.sys');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
DeleteFile('C:\WINDOWS\system32\hnfaa.dll');
DeleteFile('C:\WINDOWS\system32\fgqyh.dll');
DeleteFile('C:\WINDOWS\system32\dllcache\lsasvc.dll');
DeleteFile('C:\WINDOWS\system\ming9b090423.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wmdmpmsp\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 1, 1, true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Попробуйте загрузиться в нормальном режиме. Закачайте файл quarantine.zip по ссылке вверху темы, сделайте новый комплект логов
05.12.2009, 17:03
Олежка

после выполнения скрипта, не могу зайти не в одном режиме....
05.12.2009, 17:07
Никита Соловьев

Попробуйте: [url]http://virusinfo.info/showthread.php?t=51777[/url]
05.12.2009, 17:21
Bratez

Загрузку "последней удачной" пробовали?
05.12.2009, 17:32
Олежка

да, ничего не помагает.... я установил на "д" вторую винду, в принципе всю инфу восстановил, кробе базы "Microsoft SQL Server"
может подскажите, как возможно восстановить базу. Буду очень благодарен!!!
05.12.2009, 19:50
Олежка

новые логи, вторая система уже тоже заражена, диск С немогу отфарматировать пока не восстановятся база...
05.12.2009, 20:04
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('D:\WINDOWS\TEMP\hv301.tmp','');
DeleteService('vxx');
QuarantineFile('e:\auto.exe','');
DeleteFile('D:\WINDOWS\Atvxx.exe');
DeleteFile('D:\WINDOWS\TEMP\hv301.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS-1022-KB246389');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
05.12.2009, 20:29
Олежка

логи
05.12.2009, 20:56
Никита Соловьев

[B]Выполните скрипт в AVZ:[/B]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\windows\system32\mopudf.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('D:\WINDOWS\system32\MweiNet2.exe','');
QuarantineFile('D:\WINDOWS\system32\Wip3bad.exe','');
QuarantineFile('D:\WINDOWS\system32\alb.exe','');
QuarantineFile('D:\WINDOWS\system32\Mopudf.exe','');
DeleteService('WiNetsp2');
DeleteService('Switwlp');
DeleteService('ALB');
DeleteService('msesdfdfo');
DeleteFile('D:\WINDOWS\system32\Mopudf.exe');
DeleteFile('D:\WINDOWS\system32\alb.exe');
DeleteFile('D:\WINDOWS\system32\Wip3bad.exe');
DeleteFile('D:\WINDOWS\system32\MweiNet2.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам
Сделайте новые логи
05.12.2009, 21:11
Олежка

логи
05.12.2009, 22:02
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\Attry.sys','');
DeleteService('Switwlp');
DeleteService('ALB');
DeleteService('d');
QuarantineFile('C:\WINDOWS\system32\soaso.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\lsasvc.dll','');
QuarantineFile('C:\WINDOWS\system\ming9b090423.exe','');
DeleteFile('C:\WINDOWS\system\ming9b090423.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\lsasvc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ming9bstart');
DeleteFile('C:\WINDOWS\system32\soaso.exe');
DeleteFile('C:\WINDOWS\system32\alb.exe');
DeleteFile('C:\WINDOWS\system32\Wip3bad.exe');
DeleteFile('C:\WINDOWS\TEMP\Attry.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
05.12.2009, 23:59
Олежка

логи
06.12.2009, 00:07
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('D:\WINDOWS\system32\RxmotnC.dll','');
QuarantineFile('D:\WINDOWS\system32\MweiNet2.exe','');
QuarantineFile('D:\WINDOWS\Atvxx.exe','');
DeleteService('WiNetsp2');
DeleteService('vxx');
TerminateProcessByName('d:\windows\system32\haid.exe');
SetServiceStart('haid', 4);
DeleteService('haid');
QuarantineFile('D:\WINDOWS\system32\iSql\J002.exe','');
QuarantineFile('d:\windows\system32\haid.exe','');
DeleteFile('D:\WINDOWS\system32\iSql\J002.exe');
DeleteFile('d:\windows\system32\haid.exe');
DeleteFile('D:\WINDOWS\Atvxx.exe');
DeleteFile('D:\WINDOWS\system32\MweiNet2.exe');
DeleteFile('D:\WINDOWS\system32\RxmotnC.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
06.12.2009, 00:27
Олежка

логи
06.12.2009, 13:12
thyrex

Похоже чисто. Что с проблемой?
06.12.2009, 14:58
Олежка

:)Да, все чисто!!! Спасибо!!!

Показывать 40 сообщений этой темы на одной странице