Видимо это Win32:Agent-VGV [Wrm]

**technos** · 11.08.2008, 11:23

Утилита от DrWeb обнаруживает только производный троян, самого родителя не видит.
Домашняя версия Avast при старте сообщает о вирусе в памяти Win32:Agent-VGV [Wrm], предлагает его удалить, но при следующем старте опять то же самое.

Файлы согласно правилам приложил.

Помогите, пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 11.08.2008, 11:30

Отключите восстановление системы,антивирус и интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\Winwa43.sys','');
 DeleteService('Winwa43');
 DeleteService('Winvg20');
 DeleteService('Winvg10');
 DeleteService('Wintg01');
 DeleteService('Winri10');
 DeleteService('Winey30');
 DeleteService('Winam54');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winwa43.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvg20.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvg10.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wintg01.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winri10.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winey30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winam54.sys','');
 DeleteService('ethijxps');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethijxps.sys','');
 DeleteService('WZCSVCsrservice');
 DeleteService('SysmonLogSNMPTRAP');
 DeleteService('SQLWriterWebClientSQLBrowser');
 DeleteService('SQLWriterWebClient');
 DeleteService('ScheduleDnscache');
 DeleteService('RDSessMgrp2pgasvc');
 DeleteService('InterBaseGuardianNetlogonRemoteRegistry');
 DeleteService('InterBaseGuardianNetlogon');
 DeleteService('COMSysAppSharedAccess');
 DeleteService('BrowserRDSessMgr');
 DeleteService('AppMgmtMSMQ');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ethijxps.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winam54.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winey30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winri10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wintg01.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvg10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvg20.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winwa43.sys');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\Winwa43.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**technos** · 11.08.2008, 12:19

Все выполнил. Только АВАСТ не смог полностью снять. Выполнил для него команду "Остановить сканер доступа".

Логи приложил.

**Гриша** · 11.08.2008, 12:29

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
 DeleteService('Winwb75');
 DeleteService('Winoh75');
 DeleteService('Winju22');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winju22.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winoh75.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwb75.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Winwb75');
BC_DeleteSvc('Winoh75');
BC_DeleteSvc('Winju22');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин и повторите логи с п.10 правил...

**technos** · 11.08.2008, 12:45

Карантин отправил. Лог сбора информации приложил.

**Гриша** · 11.08.2008, 12:54

Пришлите вот этот файлик ntkrnlpa.exe согласно приложению 2 правил...

**technos** · 11.08.2008, 13:00

Выполнил действия согласно приложению 2. Однако, после выполнения команды "Добавить в карантин по списку" в окне "Протокол" было вот что:

Ошибка карантина файла, попытка прямого чтения (ntkrnlpa.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ntkrnlpa.exe)
Карантин с использованием прямого чтения - ошибка

**Гриша** · 11.08.2008, 13:11

C:\WINDOWS\ntkrnlpa.exe путь точно такой?пойщите его руками,запакуйте с паролем "virus" и загрузите по ссылке вверху страницы...

**technos** · 11.08.2008, 13:19

Нашлось два файла. Оба отправил с карантином. Только у меня нет архиватора, поэтому пакую просто средствами Windows без пароля.

1) Первый файл в каталоге:
C:\WINDOWS\system32\

2) Второй файл в каталоге:
C:\WINDOWS\Driver Cache\i386\sp2.cab
Этот файл я поместил в архив с именем ntkrnlpa2.exe