-
Junior Member
- Вес репутации
- 53
помогите - TrojWare.Win32.downloader Agent
Занёс вирус, похоже, при загрузке обновлений Винды, при этом заблокирован диспетчер задач, редактор реестра и вход в Виндовс в безопасном режиме. Антивирус постоянно выдаёт окно с таким вот предупреждением: "Обнаружен вирус TrojWare.Win32.downloader Agent~AJK@1582157". Разблокировать реестр, диспетчер с помощью АВЗ не удалось. переустановка винды не помогла. Очень надеюсь на вашу помощь. Необходимые логи прилагаю.
Последний раз редактировалось andrey80; 28.11.2009 в 01:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: _uninst_setup_9.0.0.722_26.11.2009_09-03.exe.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\_uninst_setup_9.0.0.722_26.11.2009_09-03.exe.bat','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\_uninst_setup_9.0.0.722_26.11.2009_09-03.exe.bat');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(10);
Executerepair(11);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Последний раз редактировалось Шапельский Александр; 26.11.2009 в 19:16.
-
-
Junior Member
- Вес репутации
- 53
Спасибо за внимание к моей проблеме. Прислать карантин не могу, так как вирус гасит АВЗ - не запускается, игрища с переименованиями ничего не дают. Что можно сделать?
-
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Shapel, удалось загрузить АВЗ - карантин прилагаю
-
А где лог virusinfo_syscheck ?
-
-
Сообщение от
snifer67
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Сделайте это
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось andrey80; 28.11.2009 в 01:38.
-
Выполнить скрипт
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('BT', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
Компьютер перезагрузится
ОБНОВИТЕ БАЗЫ АВЗ
Повторите действия, описанные в п. Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Hijack
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось andrey80; 28.11.2009 в 01:38.
-
Исправим кое-что заблокированное.
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(11);
Executerepair(17);
RebootWindows(false);
end.
Компьютер перезагрузится
Для контроля сделайте стандартный скрипт 2
-
-
Junior Member
- Вес репутации
- 53
Появились такие вирусы UnclasifiedMalware@8320825 и @76013997, которые блокировали АВЗ, из-за них наверное, комп очень тормозит и Опера подвисает. Диспетчер задач и редактор реестра остались заблокироваными. Вот что получилось после выполнения скриптов.
Последний раз редактировалось andrey80; 28.11.2009 в 01:38.
-
Возьмите из моей подписи MBAM и сделайте лог
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
Возьмите из моей подписи MBAM и сделайте лог
Проверю систему, завтра вышлю лог.
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось andrey80; 28.11.2009 в 01:38.
-
Удалите в MBAM следующие
Код:
Заражено файлов:
H:\System Volume Information\_restore{E313CECE-CE92-4056-B4CF-757AAC6A7CBD}\RP8\A0006049.exe (Malware.Packer) -> No action taken.
H:\System Volume Information\_restore{2B5639A7-EFC4-4ED8-8EE9-0BC4B07A9177}\RP2\A0000185.exe (Malware.Packer) -> No action taken.
H:\System Volume Information\_restore{2B5639A7-EFC4-4ED8-8EE9-0BC4B07A9177}\RP2\A0000444.exe (Malware.Packer) -> No action taken.
H:\System Volume Information\_restore{2B5639A7-EFC4-4ED8-8EE9-0BC4B07A9177}\RP2\A0000681.exe (Malware.Packer) -> No action taken.
H:\System Volume Information\_restore{2B5639A7-EFC4-4ED8-8EE9-0BC4B07A9177}\RP2\A0000917.exe (Malware.Packer) -> No action taken.
H:\System Volume Information\_restore{2B5639A7-EFC4-4ED8-8EE9-0BC4B07A9177}\RP4\A0002206.exe (Malware.Packer) -> No action taken.
H:\System Volume Information\_restore{2B5639A7-EFC4-4ED8-8EE9-0BC4B07A9177}\RP4\A0003174.exe (Malware.Packer) -> No action taken.
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\Programs\Spyware_Doctor\Spyware Doctor\sdkeygen.exe','');
BC_ImportAll;
Executerepair(6);
Executerepair(11);
Executerepair(12);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
+ новый лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Высылаю новые логи. судя по постоянно всплывающему окну антивируса при загрузке и выключении Виндовс, атаки вирусов продолжаются.
Последний раз редактировалось andrey80; 28.11.2009 в 01:38.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\winbpcp.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\jyro.exe','');
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в mbam
Код:
C:\Documents and Settings\Администратор\Local Settings\Temp\jyro.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\mhwb.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\winbpcp.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\wincudba.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\windsotk.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\winkxgv.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\wintmslna.exe (Trojan.Downloader) -> No action taken.
Cделайте стандартный скрипт 2 +лог mbam.
-
-
Junior Member
- Вес репутации
- 53
Карантин был пуст. лог МВАМ и скрипт АВЗ прилагаю. Троян и Malware продолжают регулярно обнаруживаться антивирусом.
Последний раз редактировалось andrey80; 28.11.2009 в 01:38.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\nokjqn.sys','');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\nokjqn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите!
Повторите действия, описанные в п. 1 - 2 Диагностики и новые логи прикрепите к новому сообщению
-