Показано с 1 по 19 из 19.

Помогите вылечить трояна Trojan-Downloader.JS.Agent.ejl (заявка № 117405)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30

    Thumbs up Помогите вылечить трояна Trojan-Downloader.JS.Agent.ejl

    Добрый вечер!
    Поймал трояна, помогите пожалуйста вылучить.
    На компе стоит Kaspersky 2010. Трояна он постоянно ловит, говорит что это Trojan-Downloader.JS.Agent.ejl, который живет в Local Settings\TEMP, что удалит после перезагрузе, но троян все равно появляется.
    Проверял касперским и CureIt в безопасном режими. Последний нашел трояна в той же папке, что и каспер, удалил его, но проблема не решилась - троян все равно появляется.
    К тому же не могу обновить касперского, пишет что ошибка подключения к источнику обновлений.
    Система: Windows XP SP3.
    Логи в аттаче.
    Заранее благодарю за помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) Cirer, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Добрый день!
    Сделал.
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Triedit\{E4FCB1CB-F8B0-4720-9457-705EB010F03E}.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.

    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Скрипт выполнил. Карантин загрузил.

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Спасибо!
    Уязвимости устранил.

    Но Касперский продолжает выдавать сообщения каждые 10 минут, об обнаружении трояна и удалении его после перезагрузки. Название трояна и его адрес все время одинаковые: Trojan-Downloader.Win32.Agent.gyai, адрес: C:\Documents and settings\Артур\Local settings\TEMP\_132deb6_.msi, программа: _132deb6_.ocx (взял из отчета касперского). Если удалать файл автоматически, выскакивает ошибка explorera и все папки закрываются. И обновление касперского так и не работает (пишет ошибка при подключении к серверу обновлений).

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Лог сделал - в аттаче.
    Вроде касперский пока ничего не "ловил". Единственное, после его (combofix) работы из панели задач пропал значек принтера HP и soundmax (это не критично, просто для информации).

    Касперский так до сих пор не обновляется. Видимо надо переустановить, т.к. спустя какое-то время после того как поймал вирус, но до обращения к вам за помощью, касперский перестал работать (сказал что все компоненты повреждены), помог откак системы и возврат обратно. Извините, что не сказал это в начале, вылетело из головы.

    А еще подскажите, нужно ли будет удалить combofix после лечения?
    Вложения Вложения
    • Тип файла: txt log.txt (14.6 Кб, 2 просмотров)

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Combofix удалил.
    Единственное, после перезагрузки, сново вылетело окошко касперского с информациоей и трояне, аналогичное тому, что описал выше. Может что-то не то с самим Касперским?

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Triedit\{E4FCB1CB-F8B0-4720-9457-705EB010F03E}.dll');
    DeleteFilemask('C:\Documents and settings\Артур\Local settings\TEMP','*.*',false);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Что с проблемой?

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Добрый день!
    Большое спасибо! Вроде помогло, сообщения касперского, что вирус найден, пока больше не появлялись.

    Единственное, при загрузке виндоуз, теперь каздый раз появляется ошибка "Ошибка при загрузке C:\Program Files\Common Files\Microsoft Shared\Triedit\{E4FCB1CB-F8B0-4720-9457-705EB010F03E}.dll Не удается найти указанный модуль".
    Это может повлиять на работу системы?

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Triedit\{E4FCB1CB-F8B0-4720-9457-705EB010F03E}.sys','');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Triedit\{E4FCB1CB-F8B0-4720-9457-705EB010F03E}.sys');
    DeleteService('{E4FCB1CB-F8B0-4720-9457-705EB010F03E}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Повторите лог РСИТ

  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Добрый вечер!
    Карантин отправил. Логи РСИТ сделал - во вложении.
    Вложения Вложения
    • Тип файла: txt info.txt (46.3 Кб, 0 просмотров)
    • Тип файла: txt log.txt (39.3 Кб, 1 просмотров)

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Пофиксите в HijackThis:
    Код:
    O4 - Global Startup: {E4FCB1CB-F8B0-4720-9457-705EB010F03E}.lnk = C:\WINDOWS\system32\rundll32.exe
    Перезагрузитесь и сообщите о результатах.

  26. Это понравилось:


  27. #18
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    34
    Вес репутации
    30
    Проблема вроде решилать - сообщение об ошибке больше не выскакивает и касперский начал обновляться.
    Огромное вам спасибо!

  28. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\microsoft shared\\triedit\\{e4fcb1cb-f8b0-4720-9457-705eb010f03e}.sys - Rootkit.Win32.Pakes.adl ( DrWEB: Trojan.NtRootKit.12995, BitDefender: Trojan.Generic.KDV.553408, NOD32: Win32/KillAV.NNX trojan )


  • Уважаемый(ая) Cirer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите вылечить комп от Trojan-Ransom.win32.Agent.gn
      От ivanjulai в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.12.2009, 21:32
    2. Помогите удалить трояна-Trojan-Downloader.Win32.Small.jld
      От Павлова в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 03.04.2009, 13:54
    3. Помогите вылечить trojan-downloader.win32.mutant.aim
      От alladin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:13
    4. Помогите: Trojan-Downloader.Win32.Agent.ezz
      От LeonidN в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.11.2007, 03:19
    5. Ответов: 5
      Последнее сообщение: 18.10.2007, 11:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00486 seconds with 17 queries