Здравствуйте! Помогите пожалуйста удалить вирус Trojan.Win.32.Agent2.byu

**regist** · 08.07.2012, 20:53

Сообщение от TEYA HFLJCNM

И еще вот такая странная папка образовалась на диске С - 32788R22FWJFW

это нормально.

Сообщение от TEYA HFLJCNM

Можно ли еще раз повторить те же самые действия?

да. Отключите антивирус и повторно выполните скрипт. Новый лог, который создаться после выполнения скрипта прикрепите к сообщению.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**TEYA HFLJCNM** · 09.07.2012, 13:19

Я сделала все по инструкции, вчера прождала 6 часов , но проверка так и не закончилась, и сегодня повторила, но проверка точно также длилась долго - может ли длится проверка более 6 часов или что-то не работает правильно?

**Techno** · 09.07.2012, 13:44

1. Файл c:\program files\install_flash_player.exe запакуйте с паролем virus и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

2. В командной строке выполните:

Код:

netsh int ip reset c:\resetlog.txt

3. Повторите лог ComboFix.

**TEYA HFLJCNM** · 09.07.2012, 16:21

Все сделала

**Techno** · 09.07.2012, 16:35

Пункт 2 перед комбофиксом выполнили? И что он Вам написал?

**TEYA HFLJCNM** · 09.07.2012, 16:41

Да) зашла как админ -написала команду и нажала enter и потом exit) файл скопировала на диск D) так как не давал разрешения и запаковала

- - - Добавлено - - -

Я не скопировала, то что он написал((

- - - Добавлено - - -

помню в конце 2 строк - ОК!

- - - Добавлено - - -

а после Combofix ноут не давал подключить модем - написал что файл помечен в реестре для удаления, но после перезагрузки - нормально

**Techno** · 09.07.2012, 16:53

Выполните в АВЗ:

Код:

begin
clearlog;
 RegSearch('HKLM', '', '195.128.182.46');
savelog('dhcp.log');
end.

Файл dhcp.log прикрепите к следующему сообщению.

**TEYA HFLJCNM** · 09.07.2012, 17:01

Сделала

**regist** · 09.07.2012, 17:21

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск D.

Код:

KillAll::

File::


Driver::

Folder::

RegLockDel::
[-HKEY_USERS\S-1-5-21-1228483107-2281945084-1354953221-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}*]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

что изменилось ?

- - - Добавлено - - -

+ выполните скрипт AVZ

Код:

begin  
 ExecuteRepair(21);
 RebootWindows(false);
end.

компьютер перезагрузится

**TEYA HFLJCNM** · 09.07.2012, 18:10

Ничего не изменилось( Combofix не делает проверку (в течении получас никаких изменений не было) - скажите если он начинает делать проверку, я увижу ее ход, чтобы я не теряла время? Скрипт AVZ делать сейчас или только после отчета Combofix?

**Techno** · 09.07.2012, 19:16

Сообщение от TEYA HFLJCNM

Скрипт AVZ делать сейчас или только после отчета Combofix?

Делайте.

- - - Добавлено - - -

Подключение к интернету напрямую или через роутер?

**TEYA HFLJCNM** · 09.07.2012, 19:38

Напрямую - мобильный через модем

- - - Добавлено - - -

Скрипт AVZ сделала

**Techno** · 09.07.2012, 20:05

- Сделайте лог RSIT

**TEYA HFLJCNM** · 09.07.2012, 21:06

Выполнила (возможно вирус появился еще ранее чем 3 месяца назад, так как проблемы начались еще раньше, а обострилось все после того, как сам закачался файл с вирусом и фото сомнительной дамы (который мы уже удалили)

**Techno** · 09.07.2012, 21:40

Выполните в АВЗ:

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{A2146E23-39B8-47D5-B468-25031A9903DE}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{D3C21668-2F7A-45EF-811D-5585BC06A1F0}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\Tcpip\Parameters','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{D3C21668-2F7A-45EF-811D-5585BC06A1F0}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A2146E23-39B8-47D5-B468-25031A9903DE}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D3C21668-2F7A-45EF-811D-5585BC06A1F0}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tcpip\Parameters','DhcpNameServer');
RegKeyDel('HKEY_USERS','S-1-5-21-1228483107-2281945084-1354953221-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}*');
RebootWindows(true);
end.

Компьютер перезагрузится

Еще раз озвучьте проблемы.

**TEYA HFLJCNM** · 09.07.2012, 22:49

Все сделала. после удаления 2х вирусов ноут работает намного лучше - программы и папки открываются быстрее, почти как раньше, но интернет все еще работает плохо - моментами работает хорошо, но в основном исходящий трафик преобладает, в 2-3 раза минимум выше входящего постоянно, а часто например исх-около 250 kbps а вх-около 6kbps, oppen office в один и тот же день может открыть доку-нт, а может сказать неверный формат (ну это может мелочи), в последнее время долго грузятся почему-то skype.exe и mobile.exe (на ноуте ничего не менялось, раньше быстро открывались) и самое главное что диск С до сих пор красный - такое началось, когда вирус появился и периодически создавал папки с тысячами файлов .ZZZ) Диск хотя бы раз в неделю чищу CCleaner, свободного места было около 3,2GB, сейчас 2,27 GB - кроме ваших программ я ничего нового не загружала (и то половина на диске D в спец папке) я и раньше вирус замечала только по сильному торможению ноута, и если не могла зайти в инет (отсоединялся) - я смотрела диск С и обнаруживала эти папки, затем чистила все ССleaner и на время инет восстанавливался. то есть сейчас все работает хорошо, за исключением того. что описала выше.

**regist** · 09.07.2012, 23:56

TEYA HFLJCNM, повторите логи RSIT

+ откройте AVZ - Сервис - Поиск данных в реестре - поищите A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8 если что-то нибудь найдёт сделайте экспорт в файл и прикрепите к своему сообщению.

**TEYA HFLJCNM** · 10.07.2012, 10:39

Выполнила

**regist** · 10.07.2012, 11:11

Выполните скрипт

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}');    
 RegKeyDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}');  
 RebootWindows(false);
end.

компьютер перезагрузится.

проблемы остались ? диск по прежнему продолжает забиваться файлами ? и что с интернетом?

**TEYA HFLJCNM** · 10.07.2012, 12:21

Скрипт выполнила. Запустила ССleaner поиск проблем в реестре - вот что он написал (помимо остальных) - неверные расширения файлов .ZZZ - путь ....windows\Current version\Explorer\FileExts\.ZZZ и точно также, но с расширением .ZZZZ Потом запустила очистить диск (все кроме автосохранения паролей) - зашла на диск С и увидела опять эту папку (вот ее свойства - 6,58 MG на диске 45,0 MG Файла 11539 папок 46 В разделе безопасность написано это - Запрошенная информация недоступна или не может быть отображена. Я остановила очистку диска - папка исчезла. Диск С все еще красный. Может это совпадение, но несколько раз я замечала она появляется, когда я запускаю CCleaner - поиск ошибок в реестре и очистка диска, но не всегда, было и наоборот - запускаю ССleaner только когда нахожу ее.