Junior Member
Вес репутации
58
Win32/TrojanDownloader.Agent.
Здравствуйте, помогите избавиться от Трояна . NOD нашёл C:\WINDOWS\system32\Ijkfcz.syz - Win32/TrojanDownloader.Agent.OFJ Троян
C:\WINDOWS\system32\i2U3Vc.syz - Win32/TrojanDownloader.Agent.OFJ Троян
C:\WINDOWS\system32\UhlCzw.syz - Win32/TrojanDownloader.Agent.OFJ троян
Заранее благодарен
пытаюсь отправить логи выдаёт ошибку на странице
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
логи не надо никуда отправлять, их нужно присоединить к теме. Попробуйте другим браузером, например вот таким портабельным:
http://downloads.sourceforge.net/por...f.exe?download
Junior Member
Вес репутации
58
логи к Win32/TrojanDownloader.Agent.OFJ Троян
Вложения
Скачайте IceSword .
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл
C:\WINDOWS\system32\Drivers\ati6bgxx.sys
C:\WINDOWS\System32\Drivers\ati1aaxx.sys
C:\WINDOWS\System32\Drivers\ati5fkxx.sys
C:\WINDOWS\System32\Drivers\ati7arxx.sys
C:\WINDOWS\System32\Drivers\ati7hpxx.sys
C:\WINDOWS\System32\Drivers\ati7ooxx.sys.
Нажмите по нему правой кнопкой мыши и выберите Copy to.
Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу измените расширение на ddd.
Затем
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gqg53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fhk30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ccu83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7ooxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7hpxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7arxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5fkxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1aaxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati6bgxx.sys','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ati6bgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1aaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5fkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7arxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7hpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ooxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ccu83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fhk30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gqg53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mry27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ndx50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pdi22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rth01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tlo30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wjc28.sys');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
BC_DeleteSvc('Ccu83');
BC_DeleteSvc('ati7ooxx');
BC_DeleteSvc('ati7hpxx');
BC_DeleteSvc('ati7arxx');
BC_DeleteSvc('ati5fkxx');
BC_DeleteSvc('ati1aaxx');
BC_DeleteSvc('ati6bgxx');
BC_DeleteSvc('Wjc28');
BC_DeleteSvc('Tlo30');
BC_DeleteSvc('Rth01');
BC_DeleteSvc('Ndx50');
BC_DeleteSvc('Mry27');
BC_DeleteSvc('Gqg53');
BC_DeleteSvc('Fhk30');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33017
Файлы скопированные при помощи IceSword запакуйте в один архив под пароль virus и вышлите по той же ссылке.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
Повторите логи.
Junior Member
Вес репутации
58
очередные проблемы
Нод опять находит эти вирусы и ещё плю нашёл
C:\WINDOWS\system32\msindeo.dll - модифицированный Win32/Spy.Goldun.BDK троян
C:\WINDOWS\system32\wpx44.cpx - модифицированный Win32/Injector.CN троян
C:\WINDOWS\system32\wpx48.cpx - модифицированный Win32/Kryptik.AX троян
Junior Member
Вес репутации
58
Junior Member
Вес репутации
58
логи
простите за глупый вопрос
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин, сделайте полную проверку CureIT и повторите логи...
Junior Member
Вес репутации
58
ещё глупый вопрос это как сделайте полную проверку CureIT
Junior Member
Вес репутации
58
в карантине нет файлов после этого скрипта
Junior Member
Вес репутации
58
после проверки CureIT
CureIT не определил этих вирусов, а нод их видит по прежнему
Вложения
Junior Member
Вес репутации
58
помогите всё-таки избавиться от траяна
Попробуйте скачать AVPTool и провериться, в лога ничего не видно...