Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Вирус Win32/Agent.NDP в оперативной памяти [Backdoor.Win32.Hijack.al, Backdoor.Win32.Hijack.ai ] (заявка № 37166)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33

    Thumbs up Вирус Win32/Agent.NDP в оперативной памяти [Backdoor.Win32.Hijack.al, Backdoor.Win32.Hijack.ai ]

    Помогите мне, пожалуйста! При сканировании антивирусом NOD32 появляется сообщение: "вирус Win32/Agent.NDP найден в оперативной памяти. Никакое действие не может быть предпринято при проникновении в память. Инфекция системной памяти происходит из файла C:/WINDOWS/explorer.exe". Также при включении компьютера я иногда не могу зайти ни в какую папку и интернет. При попытке входа в интернет выплывает сообщение: "Microsoft VisualC++Runtime Library. Runtime Error! Program: C:/Program Files/Internet Explorer/explorer.exe". И после нескольких попыток перезагрузки ничего не помогает. Тогда приходится выключить компьютер и через несколько минут опять включить, тогда все начинает работать. Одна надежда на вас! Помогите!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
     QuarantineFile('wmzyeys32.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteService('ati8xexx');
     DeleteService('ati6msxx');
     DeleteService('ati2gmxx');
     DeleteService('ati1jpxx');
     DeleteService('ati1flxx');
     DeleteService('ati7qwxx');
     DeleteService('bEvtSvcE');
     QuarantineFile('bEvtSvcE.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati7qwxx.sys','');
     QuarantineFile('C:\WINDOWS\system32\wmzyeys32.dll','');
     QuarantineFile('C:\WINDOWS\system32\wmzyeys.dll','');
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('c:\temp\ega291.tmp','');
     DeleteFile('c:\temp\ega291.tmp');
     DeleteFile('C:\WINDOWS\system32\wmzyeys.dll');
     DeleteFile('C:\WINDOWS\system32\wmzyeys32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati7qwxx.sys');
     DeleteFile('bEvtSvcE.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1flxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1jpxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2gmxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6msxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8xexx.sys');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('wmzyeys32.dll');
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     SetAVZPMStatus(true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Спасибо! Извините, я чайник в этих делах. А скрипт выполнить в AVZ? В обычном режиме? Повторить логи - это заново проделать ту же операцию после выполнения скриптов? Я когда делала действия согласно Правил, то у меня карантин оказался пустой, это нормально?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    1 Да в обычном режиме
    2 да проделать заново
    3 ничего страшного

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Я карантин Вам выслала, логи повторила. Что делать дальше?
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    После выполненного скрипта система полностью зависла, ярлыки исчезли, пришлось перезагрузить компьютер. Это нормально? И еще один вопрос: я выслала карантин после выполненного скрипта, потом создала логи и выслала их Вам, после этого нужно ли выслать Вам еще раз карантин?

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Скачать этот AVZ http://depositfiles.com/files/5k0qihqas

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
     TerminateProcessByName('c:\temp\dfm2d2.tmp');
     DeleteFile('c:\temp\dfm2d2.tmp');
     DeleteFile('C:\WINDOWS\system32\wmzyeys.dll');
     DeleteFile('C:\WINDOWS\system32\wmzyeys32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati7qwxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1flxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1jpxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2gmxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6msxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8xexx.sys');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('wmzyeys32.dll');
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\Temp\144715090exe');
     DeleteFile('C:\Temp\1588292234exe');
     DeleteFile('C:\Temp\420703592exe');
     DeleteFile('C:\Temp\73487854exe');
     DeleteFile('C:\WINDOWS\system32\wmzyeys.bak');
     DeleteFile('C:\WINDOWS\system32\wmzyeys32.bak');
     DeleteService('ati8xexx');
     DeleteService('ati6msxx');
     DeleteService('ati2gmxx');
     DeleteService('ati1jpxx');
     DeleteService('ati1flxx');
     DeleteService('ati7qwxx');  
     DeleteFileMask('%tmp% ','*.* ',true);   
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('ati8xexx');
    BC_DeleteSvc('ati6msxx');
    BC_DeleteSvc('ati2gmxx');
    BC_DeleteSvc('ati1jpxx');
    BC_DeleteSvc('ati1flxx');
    BC_DeleteSvc('ati7qwxx'); 
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('ICF');   
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи....

  9. #8
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Я не смогла открыть этот AVZ, выскочило сообщение: "Внимание: Потенциально опасное содержимое блокировано." Поэтому не смогла выполнить логи. Помогите мне, пожалуйста!!!

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    От кого сообщение такое выскочило?

  11. #10
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Да просто выскочило сообщение без заголовка, без опознавательных знаков и единственная кнопка "ОК".

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    потенциально опасный нод отключен ?

  13. #12
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Нет, он был включен, я боюсь его отключать, система тогда станет совсем беззащитной. У меня еще возникли сомнения на счет этой програмки со странным названием monk.pif. Вы думаете не стоит боятся? Почему НОД может не захотеть открыть эту програмку?

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Если мы говорим в морг значит в морг, это AVZ полиморфная для сложных случаев, отключите Нод и выполните все что указано...

  15. #14
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Все, все, больше не спорю. Я выполнила все, что указано выше. Высылаю логи.
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Ну что, что-то очень серъезное? Меня еще можно вылечить вручную или придется все-таки вызывать компьютерщика?

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Вы молодец, что все правильно сделали, у нас просто эпидемия, физически не успеваем, сорри...

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('wmzyeys.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13);    
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  18. #17
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Спасибо, что уделяете всем достаточно внимания! Вот выполнила скрипт и высылаю лог с пункта 2 диагностики. После выполнения скрипта компьютер начал сам перезагружатся, это нормально?
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от mooncat Посмотреть сообщение
    После выполнения скрипта компьютер начал сам перезагружатся, это нормально?
    после всех скриптов которые вам предлагались он должен перегружаться .... просто вы ему не давали это сделать ...
    в логе ничего зловредного ...

  20. #19
    Junior Member Репутация
    Регистрация
    06.01.2009
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    33
    Но у меня по прежнему при проверке НОДом выскакивает "вирус Win32/Agent.NDP найден в оперативной памяти. Никакое действие не может быть предпринято при проникновении в память. Нажмите Пропустить, чтобы продолжить и впоследствии запустить очистку всех локальных дисков. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\Explorer.EXE."

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500

  • Уважаемый(ая) mooncat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. В оперативной памяти Win32/Rootkit.Agent.ODG.
      От iliv в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.08.2009, 13:58
    2. Win32/Rootkit.Agent.ODG в оперативной памяти
      От George86 в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 15.08.2009, 12:33
    3. Ответов: 7
      Последнее сообщение: 31.07.2009, 19:35
    4. Ответов: 2
      Последнее сообщение: 29.07.2009, 16:20
    5. Вирус Win32/Rootkit.Agent.ODG trojan в оперативной памяти.
      От Shakil_AND1 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 06.07.2009, 19:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00393 seconds with 17 queries