Показано с 1 по 13 из 13.

Win32:Agent[LNK] (заявка № 16766)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    60

    Win32:Agent[LNK]

    Здравствуйте. Только вчера узнал о существовании сайта и службы помощи virus.info.
    У меня большая проблема. Один из друзей приходил ко мне домой, чтобы я записал ему информацию по институтским урокам. Он меня предупредил, что у него вирус на флэшке. Но, я согласился, так как подумал, что как всегда мой Avast или Ad-Aware SE с ним справятся.

    Теперь жалею. Вирус каждый раз создается заново, как я понял при включении локальной сети, или даже при удалении при включенном интернете сразу после перезагрузки компьютера. При этом Avast находит его в: C/Windows/System32/smtpdrv.sys, и пишет, что это Win32 Agent[LNK]. Я нажимаю отправить в хранилище или т.п. В фоновом режиме (до запуска Windows) ни RegRun, ни Avast не могут его уничтожить, они его находят, но пишут, что путь C:/Windows/System32/smtpdrv.sys doesn`t exists - не существует.

    Самое главное в том, что при обнаружении этого вируса появляется окно NT SYSTEM\AUTHORITY. Только после удалении вируса окошко не появляется. Таким образом я могу выслать вам логи (о AVZ я уже прочитал и скачал), но этого вируса уже не будет видно. Может все равно сделать эти логи, хоть я его якобы и удалил вирус? И скажите, знаете ли вы, можно ли "NT SYSTEM\AUTHORITY" отключить из системы Windows? Мне один друг сказал, что он как-то отключал это окошко из Windows.

    Я сегодня скачал и установил COMODO Firewall Pro вместо стандартного Брандмауэра Windows. Все патчи и заплатки приводимые на этом сайте в аналогичных темах я поставил. У меня Windows XP SP2. (Лицензия SP1 давно обновленная через Microsoft до SP2, автоматическое обновление включено.)

    Сейчас из антивирусов стоит avast! + RegRun + очень много разных антитроянов: От Ad-Aware SE до Windows Defender и FixBlast.

    Заранее благодарен. Посоветуйте пожалйста, как мне быть. С такой проблемой за всю историю вирусов сталкиваюсь впервые, до этого любой вирус удалялся/лечился. Сейчас как раз начало дипломного проекта, чертежи надо чертить в "Компасе", и тут такая беда.

    P.S. Логи я вложил, при этом avast! и COMODO были выключены, подключение к интернету и браузер Opera был включен. (Так ли надо было делать, ведь опасно оставлять включенной локальную сеть без защиты?). Окно NT AUTHORITY\SYSTEM не появлялось. Единственное, что я не нажал "запретить восстановление системы". Посмотрите пожалуйста пока что это. Очень поздно, я намучился, если надо, завтра повторю логи с отключенным восстановлением системы на всех дисках. Я хотя бы понял, как их надо делать.
    Вложения Вложения
    Последний раз редактировалось JUNKMAN; 22.02.2008 в 16:47.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    avast! и COMODO были выключены, подключение к интернету и браузер Opera был включен. (Так ли надо было делать, ведь опасно оставлять включенной локальную сеть без защиты?).
    Конечно опасно! Интернет и локальную сеть следовало отключить. Вместо Оперы при создании логов лучше запустить IE, если конечно он у вас есть.

    План действий:

    1. Отключите восстановление системы.

    2. Пофиксите в HijackThis:
    Код:
    O22 - SharedTaskScheduler: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - (no file)
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Tdu25');
     SetServiceStart('Tdu25', 4);
     StopService('Fba45');
     SetServiceStart('Fba45', 4);
     QuarantineFile('C:\WINDOWS\system32\drivers\Partizan.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Fba45.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Tdu25.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Tdu25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fba45.sys');
    BC_ImportALL;
    BC_QrSvc('Dptiansenta');
    BC_QrSvc('smtpdrv');
    BC_DeleteSvc('smtpdrv');
    BC_DeleteSvc('Tdu25');
    BC_DeleteSvc('Fba45');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=16766).

    5. Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    60
    Спасибо, что откликнулись на помощь! Сейчас сумел загрузить Windows только с 4 раза - появлялось окно NT AUTHORITY\SYSTEM. (Запуск серверов DCOM). Сейчас все сделаю по вашим указаниям. Перед пунктом 1."Отключение восстановления системы" я опять отключу антивирус, файерволл, и теперь уже локальную сеть, включу Internet Explorer.


    Выполнил. Карантин выслан.
    Во время лога лечния/сбора информации было вот что:
    3.Сканирование дисков
    C:\Fraps\fraps.exe – подозрение на Backdoor.Win32.Rbot.bwa (файл успешно помещен в карантин)
    С:\Windows\system32\drivers\smtpdrv.sys – Email-Worm.Win32.Agent.I (успешно помещен в карантин, успешно удален)

    Я думаю, может мне тогда удалить fraps - программу для создания скриншотов в играх? Или не стоит? Так как в прошлом логе AVZ ее тоже находил, как и мой проблемный smtpdrv.sys.
    Последний раз редактировалось JUNKMAN; 22.01.2008 в 12:16.

  5. #4
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    60
    Вот логи.

    Восстановление системы оставил отключенным.
    Вложения Вложения
    Последний раз редактировалось JUNKMAN; 22.01.2008 в 12:16.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь у вас чисто.
    Для порядка можно пофиксить в HijackThis
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    и отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Добавлено через 51 секунду

    P.S. Fraps ни в чем не виноват, это ложное подозрение.
    Последний раз редактировалось Bratez; 22.01.2008 в 14:55. Причина: Добавлено
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    60
    Привет! Три раза тьфу, пока все гладко, ни окошка NT AUTHORITY\SYSTEM, ни нахождения avast!`ом smtpdrv.sys. Спасибо огромное. Можете поподробнее рассказать о "разрешении потенциально опасных служб", что это такое, и надо ли их отключать? По поводу fraps.exe также спасибо. Как мне быть - включить или нет восстановление системы?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.
    (Автозапуск CD оставил. Если есть локалка с общим доступом к файлам и принтерам, то уберите из скрипта первую строчку после begin).
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    60
    Спасибо. Как я понял это скрипт AVZ. Да, у меня как раз локальная сеть. (я к ней подключен). Значит первый пункт убираю. И что делать с восстановлением системы, оставить ее отключенной?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Можно включить обратно. А можно и не включать.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Можно включить обратно. А можно и не включать.
    Ясно. Просто даже боязно включать. Спасибо вам большое за помощь! Можно ли оставить тему не закрытой, вдруг на крайний случай опять что-либо проявится, или лучше потом начинать просить о помощи заново?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Можно ли оставить тему не закрытой, вдруг на крайний случай опять что-либо проявится, или лучше потом начинать просить о помощи заново?
    Если этот компьютер - можно писать сюда, если другой - в новую тему.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    60
    Ясно. Еще раз спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. \\bcqr00006.dta - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.134)
      2. \\bcqr00007.dta - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.134)


  • Уважаемый(ая) JUNKMAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
      От alexm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.09.2010, 00:01
    2. Ответов: 2
      Последнее сообщение: 22.02.2009, 09:36
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:43
    5. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01620 seconds with 20 queries