Показано с 1 по 13 из 13.

Win32/TrojanDownloader.Agent.OCD троян (заявка № 28438)

  1. #1
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    35

    Exclamation Win32/TrojanDownloader.Agent.OCD троян

    После обновления NOD32 выбил сообщение, что в файлах C:\WINDOWS\system32\__c0024D5E.jpg и C:\WINDOWS\system32\__c0024d5e.jpg есть троян Win32/TrojanDownloader.Agent.OCD. Файлы были удалены, потом во время проверки был найден тот же троян в файле C:\Documents and Settings\Таня\Application Data\Microsoft\Windows\avicore.dll. +был повышеный исходящий трафик
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Судя по логам НОДу удалось удалить те файлы, на которые он ругался.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: avicore - avicore.dll (file missing)
    O20 - Winlogon Notify: __c0024D5E - __c0024D5E.jpg (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Таня\Application Data\Microsoft\Windows\lsass.exe','');
     QuarantineFile('c:\auth\auth.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\Documents and Settings\Таня\Application Data\Microsoft\Windows\lsass.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    35
    карантин закачала, вот новые логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
    Повторите логи начиная от п.10 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    35
    готово
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Documents and Settings\Òàíÿ\Application Data\Microsoft\Windows\lsass.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Таня\Application Data\Microsoft\Windows\lsass.exe','');
     DeleteFile('C:\Documents and Settings\Таня\Application Data\Microsoft\Windows\lsass.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    35
    сделала
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    В логах чисто.
    Если проблем нет - ставьте Сервис Пак 3 (качать можно по ссылке в подписи).

  10. #9
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    35
    Большое спасибо, проблем нету. А что значит в логах "C:\WINDOWS\services.bak >>> подозрение на Trojan.Win32.Agent.xna "?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Izzy Посмотреть сообщение
    Большое спасибо, проблем нету. А что значит в логах "C:\WINDOWS\services.bak >>> подозрение на Trojan.Win32.Agent.xna "?
    Удалите этот файл полностью. Это запасное колесо зловреда. В принципе - не рабочее. Если будут проблемы с удалением - сообщите.

  12. #11
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    35
    проблем с удалением файла C:\WINDOWS\services.bak не было, а во время полной проверки нод все равно находит в C:\Documents and Settings\Таня\Application Data\Microsoft\Windows\avicore.dll - Win32/TrojanDownloader.Agent.OCD троян. Этот файл можно удалять?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Сделайте полную проверку , как описано: http://virusinfo.info/showthread.php?t=15927
    Потом повторите логи по правилам.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\таня\\application data\\microsoft\\windows\\lsass.exe - Trojan-Clicker.Win32.Agent.buo (DrWEB: Trojan.DownLoad.3444)
      2. c:\\windows\\services.bak - Backdoor.Win32.Joleee.e (DrWEB: Trojan.Packed.573)
      3. c:\\windows\\services.exe - Backdoor.Win32.Joleee.e (DrWEB: Trojan.Packed.573)


  • Уважаемый(ая) Izzy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Непобедимый Win32/TrojanDownloader.Agent.NVF троян
      От M.V. Basten в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:22
    2. Win32/TrojanDownloader.Agent.
      От dnk00 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 31.10.2008, 10:50
    3. Win32/TrojanDownloader.Agent.NZM
      От Anton_Petrenko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.09.2008, 14:00
    4. Win32\TrojanDownloader.Agent.DEU
      От konsta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.07.2008, 20:41
    5. Win32/TrojanDownloader.Agent.BRK
      От goof в разделе Помогите!
      Ответов: 48
      Последнее сообщение: 10.09.2007, 13:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01060 seconds with 17 queries