Win32.Backdoor.Agent + Win32.TrojanSpy.Peed

[MYMaks]

Столкнулся с Win32.Backdoor.Agent + Win32.TrojanSpy.Peed с помощью Ad-Aware 2008. Удалить Ad-Aware их не может, а NOD32 их не видит. Ad-Aware сообщает что они расположены в папке C:\WINDOWS\system32\wsnpoem\, но FAR и WC эту папку не видят. Подскажите пожалуйста чем опасны эти вирусы и как от них избавиться.
С Уважением. Просто пользователь.

[V_Bond]

просто выполните http://virusinfo.info/showthread.php?t=1235

[MYMaks]

Не обнаружено Win32.Backdoor.Agent + Win32.TrojanSpy.Peed, хотя Ad-Aware их нашел. Прилагаю логи.

[V_Bond]

virusinfo_cure - карантин ... его прикреплять нельзя ... перечитайте правила и прикрепите логи ! (virusinfo_SYScure)
Ad-Aware - сразу деинсталируйте,как бесполезный у вас есть антивирус - этого достаточно ...

[MYMaks]

Прошу прощения, по ошибке выбрал не тот ZIP. Прикрепляю Логи.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\NTEDCC32.exe','');
 QuarantineFile('C:\WINDOWS\Temp\NT9C032.exe','');
 QuarantineFile('C:\WINDOWS\Temp\NT4DA032.exe','');
 QuarantineFile('C:\WINDOWS\Temp\NT352032.exe','');
 QuarantineFile('C:\WINDOWS\Temp\NT209CA32.exe','');
 QuarantineFile('C:\WINDOWS\Temp\56.tmp','');
 QuarantineFile('c:\windows\system32\basejqil32.dll','');
 DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
 QuarantineFile('sockins32.dll','');
 QuarantineFile('mmdmm.exe','');
 QuarantineFile('C:\WINDOWS\libor.exe','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 DeleteService('grande48');
 QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\libor.exe');
 DeleteFile('mmdmm.exe');
 DeleteFile('sockins32.dll');
 DeleteFile('c:\windows\system32\basejqil32.dll');
 DeleteFile('C:\WINDOWS\Temp\56.tmp');
 DeleteFile('C:\WINDOWS\Temp\NT209CA32.exe');
 DeleteFile('C:\WINDOWS\Temp\NT352032.exe');
 DeleteFile('C:\WINDOWS\Temp\NT4DA032.exe');
 DeleteFile('C:\WINDOWS\Temp\NT9C032.exe');
 DeleteFile('C:\WINDOWS\Temp\NTEDCC32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[MYMaks]

Не обнаружено Win32.Backdoor.Agent + Win32.TrojanSpy.Peed
Прикрепляю логи

[PavelA]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
 DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
 DeleteService('grande48');
 DeleteService('mickey32');
 QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mickey32.sys','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\libor.exe','');
 QuarantineFile('C:\WINDOWS\twain_8.dll','');
 QuarantineFile('C:\WINDOWS\system32\basejqil32.dll','');
 DeleteFile('C:\WINDOWS\system32\basejqil32.dll');
 DeleteFile('C:\WINDOWS\twain_8.dll');
 DeleteFile('C:\WINDOWS\libor.exe');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[MYMaks]

Не обнаружено Win32.Backdoor.Agent + Win32.TrojanSpy.Peed
Прикрепляю логи

[V_Bond]

пофиксите ...

Код:

3 - URLSearchHook: (no name) - - (no file)
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - (no file)

Код:

begin
 DeleteFile('sockins32.dll');
 DelCLSID('66186F05-BBBB-4a39-864F-72D84615C679');
ExecuteSysClean;
RebootWindows(true);
end.

повторите логи начиная с пункта 10 правил ...
срочно нужно ставить сп3 ...

[MYMaks]

Пока ждал ответа 23.07.08 запустил Ad-Aware. И с его помощью обнаружил и переместил в карантин Win32.Backdoor.Agent + Win32.TrojanSpy.Peed. Затем Ad-Aware смог удалить Win32.Backdoor.Agent + Win32.TrojanSpy.Peed. Благодарю за помощь! Дай бог Вам здоровья. Прикрепляю принтскин.
Попробую поставить сп-3 сегодня.
Посоветуйте пожалуйста чем лучше защищаться.

[V_Bond]

то что адваре удалил было не активно .... похоже просто валялось на диске ....
логи повторите ...

[MYMaks]

Прикрепляю логи

[pig]

Куда? Я их не вижу.

[MYMaks]

Прошу прощения, произошла ошибка загрузки.
Прикрепляю логи.

[Rene-gad]

Пофиксите

Код:

O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - (no file)

Почему у Вас во время лечения работает все, что нужно было отключить?
1. Аутпост
2. Антивирус
3. АдАваре - читайте сообщение 4 от V_Bond.
Почему базы АВЗ не обновили?
Отключите интернет, поотключайте всю защиту, удалите АдАваре и повторите логи от п.10 правил.

[MYMaks]

Авз базы обновил. АдАваре удалил, антивирус и файерволл выключил.
прикрепляю логи.

[Гриша]

В логах чисто,очистите карантин Доктора,установите SP3,жалобы есть?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\basejqil32.dll - Trojan.Win32.SubSys.dk