Показано с 1 по 17 из 17.

Что-то вроде Trojan.Win32.Agent.boky (заявка № 39227)

  1. #1
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33

    Thumbs up Что-то вроде Trojan.Win32.Agent.boky

    История вопроса.
    Несколько дней назад антивирус (аваст) начал каждый день находить вирус ".scr" в С:\Windows\System32 и ещё какую-то заразу в C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 в произвольной папке. Потом они вроде пропали. Но на днях система начала ругаться на процесс svhost.exe и раз в полчаса отрубать от интернета. В папке С:\Windows\System32 мною было обнаружено огромное количество файлов с расширением .scr (00.scr, 01.scr и т.д. числом под сотню). Их удаление ни к чему не приводило, ибо они начинали самовоспроизводиться на глазах. Сортировка по датам создания/изменения файлов показала, что появился новый файл .dll (удалён), обновился wpa.dbl, autoexec.nt и config.nt. Скачал и применил RegRun5. Он фиксировал наличие вируса в C:\Windows\System\svhost.exe, но по-большому счёту ничего в результате своей деятельности не менял. Замена autoexec.nt и config.nt на аналогичные из папки Repair имела половинчатый результат - autoexec.nt не обновляется, а config.nt обновляется при каждом подключении к интернету и опять начинают плодиться scr. Использование AVPTool также диагностировало svhost.exe, но не удалило его. Помогло удаление svhost.exe из папки C:\Windows\System\ вручную - перестали появляться scr, восстановилась работа интернета, только config.nt продолжал обновляться при каждом подключении к сети. AVPTool и CureIt показывали отсутствие вирусов. Так было полтора дня. Но в системе явно что-то происходило. На этом я хотел было закончить написание текста, но во время написания опять попёрлись scr, снова появился C:\Windows\System\svhost.exe и видимо всё начнётся сначала.

    P.S. Логи созданы на момент, когда было "всё нормально". Если будет надо - переделаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    Всё без изменений, во временных папках плодятся вирусы.
    Новые логи.

    P.S. При создании первого лога на 99% AVZ ругнулся "Invalid pointer operation", затем продолжил.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('WindowsTelephony', 4);
     DeleteService('WindowsTelephony');
     QuarantineFile('C:\WINDOWS\system\svhost.exe','');
     TerminateProcessByName('c:\windows\system\svhost.exe');
     QuarantineFile('c:\windows\system\svhost.exe','');
     DeleteFile('c:\windows\system\svhost.exe');
     DeleteFile('C:\WINDOWS\system\svhost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    Скрипт выполнен, карантин выслан.
    Новые логи.
    P.S. По завершении скрипта, при перезагрузке комп подвис, пришлось помочь ресетом. После скрипта svhost.exe исчез и временно стало тихо. Сейчас всё возобновилось.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Повторите скрипт из сообщения 4.

    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Так нельзя.
    Ставьте срочно сервиспаки иначе не будем успевать вас лечить
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    Поставил SP2.
    Повторил скрипт из сообщения №4.
    Новые логи.

    P.S. Система ругается - "Generic Host Process Win32 Services" (судя по всему на svhost.exe), после чего возникают проблемы с входом в интернет.
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Нужно ставить SP3+all updates...

  10. #9
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    Поставил SP3.
    Система вроде работает нормально. Но что-то там происходит, config.nt продолжает обновляться, на пару с ним теперь обновляется ativvaxx.cap (может, это так и должно быть, я не знаю).
    Новые логи.

    P.S. После установки SP2 прогнал на вирусы AVPTool'ом, он нашёл трояны в svchost.exe во всех скачанных (с Windows Update!!!) папках, после удаления которых винда чуть не умерла - отключились все драйвера материнки и вообще наступил маразм. SP3 всё поправил.
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    Уважаемые господа специалисты! Не забудьте про меня, пожалуйста!

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    не у видел ничего зловредного ...

  13. #12
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    А почему так? Оно что, само исчезло при апгрейде системы?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    что исчезло ? Generic Host Process Win32 Services ? - это дыра вашей системе ,с установкой сп3 исчезла ...

  15. #14
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    А имевшиеся трояны? Они же были...

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    230
    Цитата Сообщение от Avil Посмотреть сообщение
    А имевшиеся трояны? Они же были...
    Были да сплыли.
    Видели в Вашем скрипте строки?
    DeleteFile('c:\windows\system\svhost.exe');
    DeleteFile('C:\WINDOWS\system\svhost.exe');
    Перевод слова delete знаете? Вот то-то и оно.
    Наше дело правое--победа будет за нами!!!

  17. #16
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    27
    Вес репутации
    33
    Большое всем спасибо!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system\svhost.exe - Trojan.Win32.Agent.bpfz


  • Уважаемый(ая) Avil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2010, 12:31
    2. Ответов: 10
      Последнее сообщение: 06.10.2010, 22:31
    3. Вроде Rootkit.Agent.NIJ Trojan,помогите...
      От Тимошка в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 04.02.2010, 19:50
    4. Ответов: 1
      Последнее сообщение: 30.06.2009, 07:47
    5. Вроде бы Trojan Downloader Win32.Agent.lha
      От Ines в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 10.04.2008, 11:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00303 seconds with 17 queries