Вылетает shell, IP в блэке [Trojan.Win32.Agentb.bkbd ]

[Rampager]

Здравствуйте!

При загрузке ОС (Win XP SP3) постоянно вылетает с ошибкой доступа к памяти shell (aston2). После этого долго грузится explorer (панель задач в течении нескольких минут недоступна).

Проверка свежим Kaspersky Rescue Disk пару недель назад результатов не дала. Пришел к выводу, что это системный глюк (ОСь стоит много лет, не раз восстанавливалась после серьезных сбоев), и решил в ближайшее время переустановить систему.

Недавно обнаружил, что мой IP попал в блэк-листы, решил на всякий случай всё-таки провериться на заразу. Буду благодарен за помощь.

[Info_bot]

Уважаемый(ая) Rampager, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

То же самое, от чего в августе у нас лечились.

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\DAOao\oletf16.ng', '');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\DAOao\oletf16.ng', '32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

[Rampager]

Vvvyg, здравствуйте!

Большое спасибо! Лечение помогло, вылеты прекратились. Надо же, а я был почти уверен, что это просто глючит система.

То же самое, от чего в августе у нас лечились.

Вы имели в виду тот же самый вирус или что нужно выполнить те же самые действия? Если зараза та же, то какой мог бы быть источник заражения? Яву я полностью деинсталлировал, работаю хоть и из-под админской учетки, но она защищена паролем, а браузеры и прочие приложения из группы риска запускаются с пониженными привелегиями. Автозапуск отключен, как и ненужные службы. Домашняя машина спрятана от внешней сети за NAT'ом.

Можно ли так же узнать, какой "породы" был зловред? Спам/DDOS/прокси-бот или шпиён, сливающий личные данные?

Ещё раз спасибо!

- - - - -Добавлено - - - - -

Код:

 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');

какой мог бы быть источник заражения?

Рискну предположить, что дело могло быть в сетевом окружении. Я когда-то настраивал гостевой доступ к расшаренным ресурсам, скорее всего, он так и остался. А в домашней сети могут быть источники заразы.

[Vvvyg]

Вы имели в виду тот же самый вирус или что нужно выполнить те же самые действия?

Из того же семейства Corkow, лечение в каждом случае индивидуальное.

Если зараза та же, то какой мог бы быть источник заражения? Яву я полностью деинсталлировал, работаю хоть и из-под админской учетки, но она защищена паролем, а браузеры и прочие приложения из группы риска запускаются с пониженными привелегиями.

Сложно сказать, троян развивается и изменяется, скорее всего, что-то скачали и запустили, или просто ткнули на нехорошую ссылку. Для его установки нужны администраторские права, а уж как они были получены - просто запустили установщик, или какой-то вариант уязвимости с повышением привилегий был использован - кто его знает.

Можно ли так же узнать, какой "породы" был зловред? Спам/DDOS/прокси-бот или шпиён, сливающий личные данные?

Троян, ориентированный на работу с онлайн-банкингом. Для верности лучше сменить пароли и на почту/соцсети, т. к. круг его интересов может быть расширен по команде из управляющего центра.

XP, поддержка которой была завершена ещё весной, уже не может считаться безопасной системой, даже если установлены все обновления безопасности.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[Rampager]

Ясно, большое спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены