Показано с 1 по 7 из 7.

Вирус win32.agent.pz (заявка № 29150)

  1. #1
    Junior Member Репутация
    Регистрация
    26.08.2008
    Сообщений
    5
    Вес репутации
    57

    Thumbs up Вирус win32.agent.pz

    После загрузки комп зависает.
    Исчезли значки внизу справа, поэтому не уверен отключен ли антивирус.
    Занятость процессора 100%.
    Работает только в защищенном режиме.
    SpyBot находит win32.agent.pz
    окончательно удалить не могу.
    после перезагрузки он появляется снова.
    Помогите плиз, извиняюсь если что не так сделал.
    ...............................
    файлы прилагаются.
    Вложения Вложения
    Последний раз редактировалось Ink23; 28.08.2008 в 16:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Ink23 Посмотреть сообщение
    SpyBot находит win32.agent.pz
    Спайбот удалите за бесполезностью. Сейчас он может нам и мешать.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winhelp32.exe');
     DeleteService('VIDEO');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт 2
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    26.08.2008
    Сообщений
    5
    Вес репутации
    57
    Выполнил все как Вы написали(перед этим снес SpyBot и антивирус).
    После удаления
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    с помощью IceSword используя force delete и перезагрузки файлы появились снова.
    Удалил еще раз и выполнил скрипты.
    После выполнения скриптов DrWeb уже не находит эти файлы в качестве зараженных(до выполнения скриптов находил и удалял безуспешно).
    Прикрепляю новые логи.
    Не получилось отправить карантин - антивирус на компе на работе грохнул файлы при попытке заархивироватьЮ, я даже глазом моргнуть не успел.
    Я вечером посмотрю может на домашнем компе еще остались.
    Дико извиняюсь,что протормозил (может быть как-нибудь поможет содержимое папки Quarantine AVZ?) я на всякий случай с собой на флешке захватил.
    Вложения Вложения
    Последний раз редактировалось Ink23; 29.08.2008 в 09:56.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    - Сделайте повторные логи по правилам.
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    26.08.2008
    Сообщений
    5
    Вес репутации
    57
    Пофиксил.
    К сожалению, запрашиваемые файлы карантина на домашнем компе у меня также не сохранились.
    Если это как-то сгладит мою оплошность заражены они были:
    Trojan.NtRootKit.1388
    Trojan.Siggen.192
    Trojan.MulDrop.18333
    Новые логи прилагаю (в антивирусе DrWeb на время сбора логов отключал сканирование-надеюсь я правильно сделал и это действие аналогично его закрытию).
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах проблем не вижу.
    Установите Сервис Пак 3, возможно потребуется активация системы.

  8. #7
    Junior Member Репутация
    Регистрация
    26.08.2008
    Сообщений
    5
    Вес репутации
    57
    Спасибо Вам огромное.

  • Уважаемый(ая) Ink23, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Agent.ODG вирус
      От ksinuk в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 05.04.2009, 21:09
    2. Вирус Win32:Agent.usi
      От schurup в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:49
    3. Вирус Win32:Agent-OWW [Trj]
      От AlexUser в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:49
    4. Вирус win32.agent. и еще пачка
      От gogamegalol в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.12.2008, 02:35
    5. Win32.Agent вирус y2.dll
      От RaveN в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.07.2007, 17:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00025 seconds with 18 queries