-
Junior Member
- Вес репутации
- 58
Email-Worm.Agent.fy ++
При подключении интернета Касперский находит и как будто бы удаляет троян Trojan.Win32.Agent.nwo и Email-Worm.Agent.fy (это при каждом подключении). Иногда еще находит Trojan-Downloader.Win32.Mutant.(тут вариации)
Запускала AVZ, он не находит вирусов и подозрительных. Чиво мне делать-то? Как от этой гадости избавиться?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Вроде бы все сделала, как в правилах написано..
Последний раз редактировалось Foxi; 29.03.2010 в 19:03.
-
Отключите восстановление системы,антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\winio.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\uaF62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tye84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\tyD40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kpu40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ins51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ejn84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Afk73.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('uaF62');
DeleteService('Tye84');
DeleteService('tyD40');
DeleteService('WINIO');
DeleteService('Ins51');
DeleteService('Kpu40');
DeleteService('tcpsr');
DeleteService('Ejn84');
DeleteService('Sxd16');
DeleteService('Qvb27');
DeleteService('Afk73');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Afk73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ejn84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ins51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kpu40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxd16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tyD40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tye84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uaF62.sys');
DeleteFile('C:\WINDOWS\system32\winio.sys');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('uaF62');
BC_DeleteSvc('Tye84');
BC_DeleteSvc('tyD40');
BC_DeleteSvc('WINIO');
BC_DeleteSvc('Ins51');
BC_DeleteSvc('Kpu40');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Ejn84');
BC_DeleteSvc('Sxd16');
BC_DeleteSvc('Qvb27');
BC_DeleteSvc('Afk73');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23832
Повторите логи.
-
-
Junior Member
- Вес репутации
- 58
Новые логи:
PS: Касперский при подключении больше не визжит, интернет не тормозит. А 6 процессов SVCHOST.exe в диспетчере - это нормально?
Последний раз редактировалось Foxi; 29.03.2010 в 19:03.
-
Пофиксить
Код:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Xdi40');
DeleteFile('C:\WINDOWS\System32\Drivers\Xdi40.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Xdi40 ');
BC_Activate;
RebootWindows(true);
end.
Больше ничего подозрительного,жалобы есть?
-
-
Junior Member
- Вес репутации
- 58
Не знаю, насколько это можно отнести к вирусам: При загрузке Windows пояляется окошко "Параметры сервера сценариев Windows". Вроде бы оно ничего пакостного не делает, но все равно непонятно с чего оно вдруг стало загружаться (примерно месяц уже).
Еще при загрузге не все процессы грузятся, так что никакое приложение запустить нельзя. Примерно через минуту процессы подгружаются и все работает нормально.
PS: логи не надо больше присылать?
-
Junior Member
- Вес репутации
- 58
Опять та же песня
Вчера опять начал визжать касперский на тот же самый троян. Где его цепляю, понятия не имею. Почему касперский его удалить не может?
-
Сделайте новый комплект логов.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Сделаю, но я сейчас на работе.
Меня вот еще вопрос интересует: Почему касперский пропускает эту гадость на мой компьютер? Он же вроде видит что это вирус (даром что удалить не может).
-
Об этом лучше спрашивать в техподдержке ЛК.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Foxi
При загрузке Windows пояляется окошко "Параметры сервера сценариев Windows".
Вот до чего докопалась (если это кому-то кроме меня интересно):
Оказывается, это последствия червя, антивирус его удалил, но хвост остался.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В параметре Userinit нужно оставить C:\WINDOWS\system32\userinit.exe
-
Junior Member
- Вес репутации
- 58
Новые логи. Теперь Касперский 2 модификации ловит: .mwo и .fy
Последний раз редактировалось Foxi; 29.03.2010 в 19:03.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Yej40');
BC_DeleteSvc('Uaf62');
BC_DeleteSvc('Din73');
BC_DeleteSvc('Mrw73');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrw73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Din73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaf62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej40.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пофиксите ...
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - Startup: Ярлык для svchost.lnk = C:\WINDOWS\system32\svchost.exe
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Касперский снова замолчал. Интернет не виснет.
очередные логи:
Последний раз редактировалось Foxi; 29.03.2010 в 19:03.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Fkp84');
DeleteFile('C:\WINDOWS\System32\Drivers\Fkp84.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Foxi; 29.03.2010 в 19:03.
-
в логе ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 58
Спасибо
Надеюсь, больше он ко мне не залезет.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\uaf62.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.aae (DrWEB: BackDoor.Bulknet.206)
-