-
Junior Member
- Вес репутации
- 49
HELP! Trojan.Win32.Agent2.cvrl
Подцепил с флэшки дрянь под названием Trojan.Win32.Agent2.cvrl(если верить логам), судя повсему кейлоггер. Сидит эта зараза по адресу С:\documents and settings\allusers\application data\srtserv. В списке запущеных процессов сидит под именем mhvmov.exe, процесс завершить нельзя. Пробовал удалить КьюрИт'ом при попытке удалить происходит мгновенный ребут. Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\documents and settings\all users\application data\srtserv\mhvmon.exe');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\*.*','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\mhvmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 49
mhvmon.exe пропал из процессов, надеюсь болячка прошла.
Можно вопрос немного не по сабжу...Вирус остался на флэшках, как не заразиться снова, в прошлый раз анвир был включён но система всёравно подцепила его?
-
Сообщение от
borntoslow
Вирус остался на флэшках, как не заразиться снова, в прошлый раз анвир был включён но система всёравно подцепила его?
Установить все вышедшие обновления на систему, как вариант, работать с ограниченными правами.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 49
КьюрИт нашёл ещё одну дрянь только уже по адресу С:\documents and settings\allusers\application data\srtserv\sdata.dll, а mhvmon судя повсему выпал
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ, с подключенными флешками.
-
-
Junior Member
- Вес репутации
- 49
Вот логи с флэшками, после того как их вставил всё опять вернулось...
-
С подключенной флэшкой, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\mhvmon.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe');
DeleteFile('C:\Documents and Settings\Администратор\ctfmon.exe');
DeleteFile('K:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Запретил автозапуск, прочистил флешки, повторил предыдущие скрипты. КьюрИт не находит вирусы, в диспетчере тоже пропал процесс. В логах нет сообщений об обнаруженых вирусах. Судя повсему всё чисто. Спасибо за помощь.
-
Все-таки сделайте хотя бы п.2 Диагностики для уверенности.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
лог п.3, вроде ничего позрительного
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe');
DeleteFile('C:\Documents and Settings\Администратор\ctfmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.
После перезагрузки сделайте лог virusinfo_syscheck.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
-
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\application data\\srtserv\\sdata.dll - Trojan.Win32.Agent2.cztq ( DrWEB: BackDoor.Pushnik.9, BitDefender: Win32.Worm.Rimecud.BA, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:Malware-gen )
-