Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Win32:Agent-LNK [Wrm] - обнаруживается при каждом запуске компа (заявка № 16564)

  1. #1
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37

    Question Win32:Agent-LNK [Wrm] - обнаруживается при каждом запуске компа

    Антивирусник avast - при запуске компа высвечивает
    Имя файла - C:\WINDOWS.0\system32\drivers\smtpdrv.sys
    Имя вируса - Win32:Agent-LNK [Wrm]
    Тип вируса - Вирус/Червь
    Версия VPS - 080116-1, 16.01.2008

    Отправка в хранилище или удаление не дают результатов - при повторном запуске вирус опять высвечивается, в ручную данный файл, найти не смогли???? - недавнее сканирование ч-з интернет (делал админ) показало "руткит" с ним ничего не делалось(((
    С уважением и надеждой Ламинат.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Dima\LOCALS~1\Temp\winlogon.exe
    O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS.0\winhp32.exe
    O15 - Trusted Zone: www.archiviosex.net
    O15 - Trusted Zone: www.contentdiscount.info
    O15 - Trusted Zone: www.extremeaccess.info
    O15 - Trusted Zone: *.ТЭвЩУвШНЬЦТдгвў—ЧФХЛУооф
    O15 - Trusted Zone: *.ЭмжЧТТЖДЖИШжЎ—ЧФХЛУооф
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
    O20 - AppInit_DLLs:
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Rwa03');
     SetServiceStart('Rwa03', 4);
     QuarantineFile('C:\WINDOWS.0\winhp32.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\zuysteo.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\Dima\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\fwdrv.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Ejm04.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\Drivers\Rwa03.sys','');
     DeleteFile('C:\WINDOWS.0\system32\Drivers\Rwa03.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Ejm04.sys');
     DeleteFile('C:\fwdrv.sys');
     DeleteFile('C:\DOCUME~1\Dima\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
     DeleteFile('C:\WINDOWS.0\system32\zuysteo.exe');
     DeleteFile('C:\WINDOWS.0\winhp32.exe');
    BC_ImportALL;
     BC_QrSvc('asc3550u');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Rwa03');
     BC_DeleteSvc('asc3550u');
     BC_DeleteSvc('Ejm04');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=16564).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    указания ваши выполнил архив закачан по вашей ссылке.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    А логи где?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Карантин пуст. Ждем новые логи.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    Извините, - мне сейчас последовательно выполнить "приложение 2" и "3"???

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Да, как в начале темы.

  9. #8
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    1) Профиксил - как предлагалось, комп перезагрузился в папке с HijackThis: появилась пака с 12 файлами (с ней надо что то делать?)
    2) Приложение 2 выполнить не смог в окне протокол пишется - "красным - ошибка - попытка прямого нахождения файлов - так по моему)
    3) сделал приложение 3 - но как вы сказали карантин пуст(((

    Сейчас сделал повторно "как в начале темы" - - "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". -
    пишет:
    "Создание архива с файлами из карантина
    Создание архива с файлами из карантина завершено
    Выполняется исследование системы
    Исследование системы завершено"
    Как понимаю нужно отправить его - но его нигде нет??(((
    вы уж меня извините - делетанта((((

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Видимо вы не так поняли.
    Сделать новые логи - значит заново выполнить п.8-13 правил и прикрепить полученные логи, как вы делали в первом сообщении.
    П.8 (скрипт лечения/карантина) вы только что сделали... осталось немного
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    Я выполнил по новой 2 скрипта но - где сохранились новые логи???
    В папке avz4 только автоматически сохраненная папка LOG - с архивами которые я вам уже отправлял - что я не так делаю???

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    посмотрите на их дату создания ... точно старые ?

  13. #12
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    Вот вроде.......
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачать ... утилиту
    - отключить антивирус
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Rwa03.sys - direct file content wiping - do operation - закрыть программу..
    - перезагрузится ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Rwa03');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Rwa03.sys','');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Rwa03.sys');
     BC_DeleteSvc('Rwa03');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  15. #14
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    Уважаемый V_Bond, утилиту скачал и установил но я не понимаю что значит - " tools - wipe/copy file - browse " - в ручную такого файла (C:\WINDOWS\system32\drivers\Rwa03.sys) в папке нет....

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пункты меню ... tool - wipe/copy file - browse

  17. #16
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    Такого файла - Rwa03.sys - в обзоре нет....

    C:\WINDOWS.0\system32\drivers\smtpdrv.sys - и этот файл найти я тоже не смог(((( - он высвечивается заражённым
    Последний раз редактировалось Laminat; 17.01.2008 в 20:21.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\WINDOWS.0\System32\Drivers\Rwa03.sys - попробуйте ввести полный путь ..

  19. #18
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    Я в окне имя файла указал полностью- как вы и сказали - при нажатии "произвести операцию" - маленькое окно высветило - "File content deleted" - ????

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    сделайте лог virusinfo_syscheck.zip

  21. #20
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    45
    Вес репутации
    37
    Вот.
    Вложения Вложения

  • Уважаемый(ая) Laminat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 20.03.2012, 22:56
    2. странный dll мучающий меня при каждом запуске((
      От KotoeD в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 18.03.2012, 12:56
    3. Вирус winlogon.exe при каждом запуске
      От QwRyder в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.11.2010, 23:03
    4. Ответов: 26
      Последнее сообщение: 22.02.2009, 01:54
    5. Nod32 кричит при каждом запуске.
      От Волчёнок в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.11.2008, 19:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01353 seconds with 17 queries