-
Junior Member
- Вес репутации
- 57
при подключении флешки пишет на нее вирус.
Добрый день!
Столкнулся с такой проблемой- на компе стоит Win xp sp2, eset nod 2.70.39.
И теперь при подключении флешки eset выдает сообщение :
и при этом на флешку пишется файл system.exe размером 40 960 байт. На другом компе, где стоит Avira Premium Security Suite 8 этот файл опознается как TR/Agent.amog или TR/Agent.alqj, а в Kaspersky Virus Removal Tool опознается как троянская программа Trojan.Win32.Agent.alqj.
Вчера при проверке в Kaspersky Virus Removal Tool были следующие результаты :
первый раз -
Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Trojan-Dropper.Win32.Agent.yyq Файл: C:\Documents and Settings\tester\Local Settings\Temp\buritos.exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.zaq Файл: C:\Documents and Settings\tester\Local Settings\Temp\shaurma.exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.yxf Файл: C:\Documents and Settings\tester\Local Settings\Temp\wintvXtxaR.exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.yxf Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\CBHRYMV5\load[1].php
обнаружено: вирус Worm.Win32.AutoRun.ryi Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\E1HIZU1S\ldr[4].exe
удалено: троянская программа Trojan-Clicker.JS.Agent.aw Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\I86P7HWC\Mirrors_for_bath[1].htm
удалено: троянская программа Trojan-Clicker.HTML.IFrame.es Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\O7VN6GL9\111[1].js
удалено: троянская программа Trojan-Dropper.Win32.Agent.yyq Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\O7VN6GL9\buritos[1].exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.zaq Файл: C:\Documents and Settings\tester\Local Settings\Temporary Internet Files\Content.IE5\QZ6R2HIZ\shaurma[1].exe
удалено: вирус Email-Worm.Win32.Zhelatin.adt Файл: C:\Program Files\ESET\infected\0JEWJADA.NQF//PE-Crypt.XorPE
удалено: троянская программа Packed.Win32.Tibs.kg Файл: C:\Program Files\ESET\infected\32L35MAA.NQF//PE-Crypt.XorPE
удалено: троянская программа Trojan.Win32.Agent.wnv Файл: C:\Program Files\ESET\infected\L53ILHBA.NQF//PE-Crypt.XorPE
удалено: троянская программа Trojan.Win32.Buzus.mey Файл: C:\Program Files\ESET\infected\LZRPUXDA.NQF//PE-Crypt.XorPE
удалено: троянская программа Trojan.Win32.Pakes.jud Файл: C:\Program Files\ESET\infected\PKO0INDA.NQF//PE-Crypt.XorPE//PE_Patch.UPX//UPX
удалено: троянская программа Trojan.Win32.Agent.alxl Файл: C:\WINDOWS\system32\msvcrt62.dll
удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CJCREZUL\WM[1].exe
не найдено: троянская программа Trojan.Win32.Agent.alqj Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UVOFILKF\ldr[1].exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UVOFILKF\WM[1].exe
не найдено: вирус Worm.Win32.AutoRun.ryi Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Y76ZA123\ldr[1].exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.yzi Файл: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Y76ZA123\WM[1].exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.yzi Файл: C:\WINDOWS\Temp\rdl1.tmp
удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\Temp\rdl5.tmp
удалено: троянская программа Trojan-Dropper.Win32.Agent.zfw Файл: C:\WINDOWS\Temp\rdl94.tmp
удалено: троянская программа Trojan-Dropper.Win32.Agent.yzi Файл: C:\WINDOWS\Temp\rdlA8.tmp
и во второй раз -
Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Trojan.Win32.Agent.alpx Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0075454.dll
удалено: вирус Worm.Win32.AutoRun.rtt Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0075455.exe
удалено: троянская программа Trojan.Win32.Agent.alxl Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0075531.dll
удалено: троянская программа Trojan.Win32.Agent.alxs Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076608.dll
удалено: троянская программа Trojan.Win32.Agent.alqj Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076612.exe
удалено: троянская программа Trojan.Win32.Agent.alzb Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076658.dll
удалено: вирус Worm.Win32.AutoRun.ryi Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076660.exe
удалено: вирус Worm.Win32.AutoRun.ryi Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076667.exe
удалено: вирус Worm.Win32.AutoRun.ryi Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076683.exe
удалено: троянская программа Trojan.Win32.Agent.alxl Файл: C:\System Volume Information\_restore{3AEF2EB7-62C1-4A8A-A4A4-BB79A19D03C8}\RP191\A0076688.dll
Сегодня, перед тем как писать это письмо, проверка в Kaspersky Virus Removal Tool не выявили никаких вирусов, но флешка также исправно при каждом подключении заражается.
Требуемые файлы я прилагаю.
Хотелось бы узнать как с этим справиться.
Заранее благодарен, Александр Качуренко.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('mssvcc.exe','');
QuarantineFile('regsrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\wpx9.cpx','');
QuarantineFile('C:\WINDOWS\system32\lssrvc.exe','');
QuarantineFile('C:\WINDOWS\system\msidll.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qva62.sys','');
QuarantineFile('C:\WINDOWS\system32\msvcrt45.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt45.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Qva62.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
BC_DeleteSvc('Qva62');
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33678
Повторите логи.
-
Junior Member
- Вес репутации
- 57
Все сделал.
День добрый!
Сделал как сказано, карантин выслал. Логи прилагаю.
-
Пофиксить
Код:
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKUS\S-1-5-18\..\RunServices: [Registry Server] regsrv32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunServices: [Registry Server] regsrv32.exe (User 'Default user')
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msvcrt46.dll');
DeleteFile('C:\WINDOWS\system32\wpx9.cpx');
DeleteFile('mssvcc.exe');
DeleteFile('SystemReg16.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 57
И что это было?
День добрый!
1. Сегодня при подключении флешки Nod не кричал и на флешку зловред не писался.
2. при попытке пофиксить строка O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe отсутствовала, правда я с утра запускал Spybot - Search & Destroy version: 1.6.0 (build: 20080729), он там кое-что понаходил и полечил, видимо из-за этого и отсутствует. Логи Spybot - Search & Destroy на всякий случай прилагаю.
3. В папке C:\WINDOWS\system32 кроме файла msvcrt46.dll был аналогичный msvcrt44.dll (размер одинаковый), а вчера, насколько я помню, был еще и msvcrt45.dll.Так что я в скрипт добавил строчку про удаление msvcrt44.dll. Скрипт выполнился нормально.
4. Хотелось бы понять, это я поймал именно трояна? и поэтому Nod не мог его прибить а только боролся с его проявлениями? и что за зверь был?
-
Отключать надо всю защиту при выполнении скриптов, все Ваши НОД, Касперский, Др.Веб, Спайбот. Они только мешают.
Числом защитных программ не победишь троянов.
Последний раз редактировалось PavelA; 13.11.2008 в 18:21.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
И?
День добрый!
Да я вроде все отключал перед запуском AVZ. С чего такой вывод о неотключении перед скриптами?
И где ключевая фраза - "логи чистые"? Или еще не все чисто?
-
В Хиджаке в процессах НОД + Доктор.
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('msidll');
DeleteFile('C:\WINDOWS\system\msidll.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить Станд скрипт №2.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Сделано.
Добрый день!
1. Не могу в Диспетчере задач завершить nod32krn.exe, жму "Завершить процесс" и ничего не происходит, висит себе дальше, хотя из Nodа перед этим я выхожу. просто он висит для system, а я вроде где-то в нете читал что обычный пользователь не сможет при этом убить процесс nod32krn.exe.
так что в Хиджаке он опять будет виден.
2. Скрипт выполнился, правда я перед этим смотрел и файл C:\WINDOWS\system\msidll.exe отсутствовал. Как же он тогда выполнился нормально, если не удалил то что нужно? Ведь кроме удаления в скрипте ничего более полезного не было вроде. Но это так, размышления вслух.....
Логи прилагаю.
-
Я там просто пустой сервис убил, чтобы зря в реестре не висел.
BC_DeleteSvc('msidll');
В логах теперь чисто.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Спасибо!
Ну что же, за сим считаю что мои волнения закончились(вернее не совсем мои, ибо лечил машину коллеги, моя чистенькая).
Большая благодарность всем хэлперам, помогавшим мне!!!!!!!!!!
P.s. Делаю для себя выводы -
1. нет ПОСТОЯННО хорошего антивируса. Начинал с DrWeb, потом был касперский, потом nod, сейчас на своей машине Avira Premium Security Suite 8 и я доволен, во всяком случае у меня Avira орала на зловред, записываемый на флешку а на машинке, которую лечили , Nod тихонько себя в тряпочку..... .
2. прийдется и себе поставить дополнительно антитрояна, уже одного антивируса, даже хорошего, маловато.
Господа хэлперы, не подскажите напоследок хорошего антитрояна ?