Trojan-Downloader.Win32.Agent.ahoe

**Radow** · 22.05.2009, 14:55

Здравствуйте.
Кажется я установил у себя этот вирус. Процесс mdaxel.exe не вирус.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 22.05.2009, 15:29

У вас много подозрительного в логах, но не видно ничего откровенно вредного. Поэтому, так, наверное: программа AVZ - файл - выполнить скрипт - выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\My Documents\Progs\!nteresting\!nstall 1st\mdAxel.exe','');
 QuarantineFile('D:\My Documents\Progs\!nteresting\Windows_xKill_by_Solo_Dev\Win-xKill.exe','');
 QuarantineFile('D:\My Documents\Progs\!nteresting\portable\Everything-1.2.1.371\Everything-1.2.1.371.exe','');
 QuarantineFile('C:\Program Files\uTorrent\uTorrent.exe','');
 QuarantineFile('C:\Program Files\Executor\executor.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\REGSYS701.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ihhgpn.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ajp6aagt.SYS','');
 QuarantineFile('E:\Program Files\XoftSpySE\XoftSpy.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dwprot.sys','');
 QuarantineFile('C:\WINDOWS\system32\TUKERNEL.EXE','');
 QuarantineFile('C:\WINDOWS\system32\RestoratorContextMenu.dll','');
 QuarantineFile('c:\program files\rocketdock\rocketdock.exe','');
BC_ImportquarantineList;
BC_Activate;
Executerepair(17);
rebootwindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=46311 , как написано в прил.3 правил. Скрипт ничего не удаляет, только собирает файлы в карантин. И, если будут запрошены новые логи, не нужно повторно паковать их - просто прикрепляйте virusinfo_syscure.zip и virusinfo_syscheck.zip к теме.

**Radow** · 22.05.2009, 15:42

Rocketdock.exe, mdAxel.exe, Win-xKill.exe, Everything, uTorrent.exe, executor.exe и XoftSpy.exe установлены мною, это не вирусы. Это имеет значение и их можно не присылать или они просто могут быть инфицированы?
Пока добавляю новые логи, сделанные по правилам.

>но не видно ничего откровенно вредного
У меня не открывается редактор реестра и список задач. При восстановлении полномочий ничего не происходит. Скрытые файлы не показываются, procexp.exe, avz.exe и т.д. не запускаются.

>И, если будут запрошены новые логи, не нужно повторно паковать их - просто прикрепляйте virusinfo_syscure.zip и virusinfo_syscheck.zip к теме.
Спасибо, больше не буду. : )

**Numb** · 22.05.2009, 15:53

Присылайте все, в крайнем случае, пойдут в базу безопасных объектов. Блокировка реестра видна, после выполнения скрипта должна уйти.

**Radow** · 22.05.2009, 17:15

При карантине выводит:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\obvious.sys*)

*тоже самое с след. файлами.
C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS)
C:\WINDOWS\system32\Drivers\REGSYS701.SYS)
C:\WINDOWS\system32\drivers\ihhgpn.sys)
C:\WINDOWS\System32\Drivers\ajp6aagt.SYS)
C:\WINDOWS\system32\drivers\dwprot.sys)
D:\My Documents\Progs\!nteresting\Windows_xKill_by_Solo_ Dev\Win-xKill.exe)
C:\WINDOWS\system32\drivers\dwprot.sys.

**Radow** · 23.05.2009, 23:09

Перезалить карантин?

**AndreyKa** · 23.05.2009, 23:19

Карантин пришел. Файлы заражены Virus.Win32.Sality.aa (Win32.Sector.17)
Как лечить файловый вируc: http://virusinfo.info/showthread.php?t=15927

**Radow** · 23.05.2009, 23:53

В системе нет дисковода. Возможно запустить Dr.Web LiveCD с флешки? Или запустить портативную версию ОС(загрузка ОС с USB выбрана приоритетной) и потом уже CureIt.

**AndreyKa** · 24.05.2009, 00:16

Возможность сделать загрузочную флешку с Dr.Web LiveCD существует:
ftp://ftp.drweb.com/pub/drweb/livecd/LiveCD-ru.pdf (стр. 48 )

**Radow** · 24.05.2009, 02:53

Хорошо - спасибо за помощь.

**Radow** · 29.05.2009, 22:27

Dr. Web с boot usb виснет на половине сканирования. Что случиться, если скачать сканер на другом компе, заархивировать на нем, потом перебросить на зараженный и открыть через авз? Он вроде и другие программы мог защищать.

**AndreyKa** · 29.05.2009, 23:14

Заметили на каком файле зависает DrWeb?
При загрузке с флешки не должно быть проблемы противодействия.
Проверьте диск на наличие ошибок.

**Radow** · 29.05.2009, 23:25

Зависало на разных местах, один раз при правом клике на рабочем столе.
>Проверьте диск на наличие ошибок.
А как проверять? Я не нашел как правильно делать boot usb с помощью самого доктора, поэтому пользовался сторонней программой.

**CyberHelper** · 30.05.2009, 23:25

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\intel\ncs\proset\pronomgr.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
2. d:\my documents\progs\!nteresting\!nstall 1st\mdaxel.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
3. d:\my documents\progs\!nteresting\portable\everything-1.2.1.371\everything-1.2.1.371.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
4. e:\program files\xoftspyse\xoftspy.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )

Trojan-Downloader.Win32.Agent.ahoe (заявка № 46311)

Опции темы

Trojan-Downloader.Win32.Agent.ahoe

Итог лечения

Похожие темы

Последствия rojan.Win32.Agent.buqf, Trojan-Downloader.Win32.Kido.k, Trojan.Win32.Hosts.gen и т.д.

Последствия вирусов: Backdoor.Win32.Shiz.vp, Packed.Win32.Krap.h, Trojan-Downloader.Win32.Agent.esao, Trojan.JS.Redirector.nf

Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm

Усложнения после Virus.win32.sality.aa и Trojan-Downloader.Win32.ahoe

TR-DWLDR.Win32.Agent.ahoe и не только он

Ваши права в разделе