Показано с 1 по 18 из 18.

win32/agent.nhd.exe (заявка № 15056)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46

    Thumbs up win32/agent.nhd.exe

    Через некоторое время(небольшое) после загрузки,Nod сообщает, что обнаружен win32/agent.nhd.exe в dll-ке при доступе к ней totour.exe. Название DLL всё время разное. Слетают настройки сети. Если опять всё прописать вручную, то локалка появляется, интернет-нет. В autoruns в разделе winsock появляются записи с этой dll. Файл соответственно не found. Если убрать галочки, то после перезагрузки инет появляется и существует несколько секунд, до тех пор, пока Nod не прибивает dll, уже с другим именем. При сканировании ни Nod, ни CureIT, ни AVZ ничего не находят. Логи прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    В каком месте прилагаются логи?

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46
    Вроде были. Сейчас еще раз попробую.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
    QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
    QuarantineFile('C:\WINDOWS\system32\eqolfgywkvc.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.

    Скачайте WinSockxpFix: http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
    но пока не запускайте.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46
    Комп будет доступен только завтра, сделаю - отпишусь. WinsockFix брал отсюда: http://www.veldhuizen.speedxs.nl/ , это то-же самое?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Да, это оно.
    И еще: найдите дистрибутив своей версии Windows.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46
    Ок. Спасибо.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46
    Вчера не успел. Скрипт выполнил, карантин отослал.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    ntkrnlpa.exe_, ntoskrnl.exe_ - Trojan.Win32.Patched.au ....
    лучше всего заменить на чистые из дистрибутива ....

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    67
    файлы ntkrnlpa.exe, ntoskrnl.exe патчены - Trojan.Win32.Patched.au
    1)Их нужно заменить,для этого вам и понадобиться дистрибутив с windows XP.
    Заменить можно следующим образом

    Пуск--выполнить--cmd
    expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
    x - буква CD, y - буква диска с windows xp
    и так же заменяем
    expand x:\i386\ntkrnlpa.ex_ y:\windows\system32\ntkrnlpa.exe

    2)С помощью AVZ делаем поиск файла eqolfgywkvc.dll(как это сделать можно узнать из моей подписи)
    если найдётся то поместить в карантин с помощью AVZ и отправить по правилам.

    3)Выполните скрипт :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\eqolfgywkvc.dll');
     BC_DeleteFile('C:\WINDOWS\system32\eqolfgywkvc.dll');
    ExecuteSysClean;
    ExecuteRepair(15);
    BC_Activate;
    RebootWindows(true);
    end.
    может пропасть интернет,тогда воспользуйтесь утилитой WinsockFix,предварительно запомнив настройки подключения,ибо WinsockFix их сбросит.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Уточнение к вышесказанному:
    1. Отключите восстановление системы!
    2. Скорее всего, указанные команды придется выполнять не в cmd а в консоли восстановления.
    3. По окончании процедур обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46
    Файлы подменил. Сообщение исчезло, сеть не пропадает. В логах есть totour.exe в system32, но судя по тому,что он беззащитно валяется в папке, а не удаляется Explorerом, он не активен и его можно удалить даже руками. Eqolfgywkvc.dll искать бесполезно - это та самая dll, которая при каждой загрузке меняет имя и убивается Нодом. Выдрал из карантина Нода - название другое, но смысл тот-же, заархивировал AVZ, высылаю на всякий случай. Логи тоже.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\totour.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ....

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46
    Есть.
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ну теперь чистота и порядок.
    Отключите вот эти службы для профилактики:
    Код:
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    46
    Уже. Спасибо.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    67
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".


    Удачи!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntkrnlpa.exe - Trojan.Win32.Patched.au (DrWEB: Trojan.Spambot.2553)
      2. c:\\windows\\system32\\ntoskrnl.exe - Trojan.Win32.Patched.au (DrWEB: Trojan.Spambot.2553)
      3. d:\\temp\\virus\\rarlpkrqnwxuv.dll - Trojan.Win32.Msnetax.l (DrWEB: Trojan.Vqten)


  • Уважаемый(ая) Step, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
      От alexm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.09.2010, 23:01
    2. Ответов: 2
      Последнее сообщение: 22.02.2009, 09:36
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:43
    5. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01285 seconds with 17 queries