Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Вирус Trojan-Downloader.Win32 (заявка № 18419)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39

    Exclamation Вирус Trojan-Downloader.Win32

    Здравствуйте! Прошу вашей помощи, залез вирус, а верней троянская программа Trojan-Downloader.Win32.Agent, которая не дает мне покоя, уже 6 месяцев! Мой ативирусник, находит его, но вылечить не может. Суть проблемы, глючит и долго выхожу в инет, много чего не могу скопировать с носителей. Мой друг, посоветовал ваш сайт, если будет возможность, я буду очень признателен.

    Заранее благодарю
    С уважением,
    carbon studio
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    Уж и не знаю, надо ли все это карантинить.
    Для начала выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\BN4.tmp','');
     BC_DeleteSvc('Ejo84');
     BC_DeleteSvc('Afk05');
     BC_DeleteSvc('Afk40');
     BC_DeleteSvc('Gmr27');
     BC_DeleteSvc('NDnet1');
     BC_DeleteSvc('Ipu41');
     BC_DeleteSvc('Nty16');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Uaf27');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\mmhren1.exe','');
     QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
     DeleteFile('C:\WINDOWS\system32\autorun.exe');
     DeleteFile('C:\WINDOWS\mmhren1.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Uaf27.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Nty16.sys');
     BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ipu41.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gmr27.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk40.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Afk05.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ejo84.sys');
     BC_DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
     DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить то,что попадет в карантин через ссылку вверху темы.

    Сделать новые логи.

    Ежели не сработает, то придется откатываться назад. Слишком тут много всякого разного накопили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Спасибо за помощь!
    Посмотрите,что плучилось!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Ejo84');
     SetServiceStart('Ejo84', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo84.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ejo84.sys');
    RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
    DelWinlogonNotifyByKeyname('WLCtrl32');
    BC_ImportALL;
    BC_DeleteSvc('Ejo84');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    И новые логи!
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Карантин, согласно правилам, отправляют вот тут:
    http://virusinfo.info/upload_virus.php?tid=18419
    а из сообщения его уберите.
    Логи сейчас гляну...
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Извини,не сообразил!!!!
    Спасибо! Все сделал!

    Добавлено через 39 секунд

    Извините!
    Последний раз редактировалось carbon studio; 21.02.2008 в 18:05. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Все на месте да еще и mmhren1.exe снова народился...

    Выполните такой скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ejo84\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Ejo84.sys');
     BC_DeleteSvc('Ejo84');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Ejo84.sys');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\mmhren1.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки приложите файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Приложить, только этот файл или сделать снова логи???

  11. #10
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Выкладываю.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Пока только этот
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Спасибо!!! Тогда жду следующих указаний!

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Похоже, все получилось!
    Выполните еще такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
    DelWinlogonNotifyByKeyname('WLCtrl32');
    DeleteFile('C:\WINDOWS\mmhren1.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    и сделайте новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Очень долго перезагружался компьютер,это нормально???
    Вроде все так сделал!!!!
    Спасибо вам!
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    WLCtrl32 на месте, а руткит возродился с новым именем!
    Отключите восстановление системы!
    Это я проморгал, надо было раньше вам напомнить.

    Выполните такой скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Hmr73\0000', 'CSConfigFlags', '1');
     BC_DeleteSvc('Hmr73');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Hmr73.sys');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_Activate;
     RebootWindows(true);
    end.
    После него выбирайте через F8 загрузку в безопасный режим и выполняйте следующий:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Hmr73.sys');
    DelWinlogonNotifyByKeyname('WLCtrl32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Затем делайте новые логи, надеюсь на этот раз победим.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    А как отключить восстановление системы???

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Панель управления - Система - вкладка Восстанволение системы
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Надеюсь,что получилось!!
    И надо потом,включать восстановление системы???
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    18
    Вес репутации
    39
    Жду,что же делать дальше??? наша взяла??

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    все на месте ....
    отключитесь от интернет ... отключите антивирус ...
    выполните скрипт ...
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Oty27\0000', 'CSConfigFlags', '1');
     BC_DeleteSvc('Oty27');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Oty27.sys');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\mmhren1.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи ....

  • Уважаемый(ая) carbon studio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на вирус Trojan-Downloader.Win32.Geral
      От Taboo в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 01.04.2012, 18:13
    2. вирус win32 trojan downloader.carber.ad
      От alexandr1980 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 10.02.2012, 12:56
    3. Вирус Trojan-Downloader.Win32.Agent.nsl
      От logins в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.03.2009, 14:49
    4. Вирус Trojan-Downloader.Win32!
      От carbon studio в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:00
    5. Вирус Trojan-DownLoader.Win32.Mutant.aim
      От Iksman в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2008, 17:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00874 seconds with 17 queries