Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Trojan-Proxy.Win32.Agent.ji. (заявка № 6998)

  1. #1
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64

    Exclamation Trojan-Proxy.Win32.Agent.ji.

    Здравствуйте. никак не получается избавиться от вируса. касперский его удаляет но при перезагрузки он вновь появляется.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    http://www.z-oleg.com/secur/virlist/vir1179.php
    Цитата Сообщение от Зайцев Олег
    У вас на компьютере опасный бот с руткитом. Рецепт:
    1. Перезагрузиться
    2. Запустить AVZ, не отмечая диски пролечить ПК с включенным противодействияем руткитам (в логе появится отметка о нейтрализации перехвата SYSENTER и о обнаружении маскировки lzx32.sys)
    3. Включить AVZ Guard
    4. Сервис/Поиск данныx в реестре. Образец поиска - lzx32.sys. Найденные ключи следует удалить.
    5. Файл/отложенное удаление. Удалить файл C:\WINDOWS\system32\lzx32.sys (этот файл не виден на диске, поэтому нужно просто скоипровать отсюда или из лога его полное имя в поле "Файл" диалога отложенного удаления).
    6. Перезагрузиться, не отключая AVZ Guard
    7. Повторить логи. Если все сделано верно, то перехват SYSENTER пропадет и посторонний трафик исчезнет

    Перечисленное можно сделать при помощи скрипта AVZ (правда поиск в реестре по образцу lzx32.sys лучше):

    Код:
    begin
    SearchRootkit(True, True); 
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\lzx32.sys');
    ExecuteSysClean;
    RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); 
    RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); 
    RebootWindows(True);
    end.
    После выполнения (перезагрузки) AVZ - файл - выполнить скрипт
    Прислать согласно приложения 2 правил (с 5го пункта):
    Код:
    begin
     SearchRootkit(True, True); 
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
     QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
     QuarantineFile('C:\WINDOWS\system32\ADMDLL.dll','');
     QuarantineFile('C:\WINDOWS\system32\astmj.dll','');
     QuarantineFile('C:\WINDOWS\system32\nordsys.exe','');
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll','');
     DeleteFile('C:\WINDOWS\system32\lzx32.sys');
     ExecuteSysClean;
     RebootWindows(True);
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    вы знаете, не нашел AVZ файл lzx32.sys. че делать ???

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от adm_tolik_in
    вы знаете, не нашел AVZ файл lzx32.sys. че делать ???
    На каком пункте выданных рекомендаций?

  6. #5
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    на пункте 2.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от adm_tolik_in
    на пункте 2.
    а поточнее можно...
    в пункте 2 написано о необходимости включения противодействия руткитам и запуска сканирования процессов. Там не указано что Вы должны что то искать.

  8. #7
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    //
    (в логе появится отметка о нейтрализации перехвата SYSENTER и о обнаружении маскировки lzx32.sys)
    //
    вот такого у меня не появляется !!!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Значит вы не включили противодействие руткитам.
    В ваших прикреплённых логах:
    Проверка IDT и SYSENTER завершена
    >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
    Выполните рекомендации двумя скриптами.

  10. #9
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    действительно мой косяк. все прошло как и описанно. файл выслал. приношу извенения за тормознутость, просто касперский в большенстве случаев справляется с работой и бороться с вирусами приходится крайне редко.
    а что дальше делать?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Из присланного.... (что то мало в карантин попало, и даже то что не запрашивали...)
    C:\WINDOWS\system32\vxga4me1.exe - Trojan.Win32.Agent.OH (VBA32) BackDoor.Uragan (DrWeb)

    1 отключите восстановление системы (в правилах написано как)
    2 Удалите через AVZ Файл - отложенное удаление
    C:\WINDOWS\system32\vxga4me1.exe

    перезагрузитесь и сделайте новые логи (желательно в режиме продиводействия руткитам)
    Последний раз редактировалось Shu_b; 04.12.2006 в 17:03.

  12. #11
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    сделал.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    И где логи?

  14. #13
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    думал лог загружать надо.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Прислать согласно приложения 2 правил

    C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll
    C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll
    C:\WINDOWS\system32\ipv6monl.dll
    C:\WINDOWS\system32\astmj.dll
    C:\WINDOWS\system32\ADMDLL.dll


    radmin - сами ставили?

  16. #15
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    да, RAdmin ставил сам

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от adm_tolik_in
    да, RAdmin ставил сам
    А запрошенные файлы где?

  18. #17
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    запрошенные файлы отправил, только он не все добавляет которые просили.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Из присланного -
    C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll - AdWare.Win32.Webalt.a (KAV)
    C:\WINDOWS\system32\ADMDLL.dll - Trojan.Spambot (DrWeb)

    C:\WINDOWS\system32\astmj.dll - RemoteAdmin.21

    Код:
    begin
     SearchRootkit(True, True); 
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ADMDLL.dll');
     DeleteFile('C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll');
     ExecuteSysClean;
     RebootWindows(True);
    end.
    Пофиксить ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    O3 - Toolbar: WebAlta Toolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll
    O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll (file missing)
    Прислать, если что осталось в папке C:\Program Files\WebAlta\Toolbar\
    Так и не прислан файл C:\WINDOWS\system32\nordsys.exe

  20. #19
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    профиксить не получилось. выдает сообщение .... was not found in the Registry.
    файла nordsys.exe нет вообще.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от adm_tolik_in
    файла nordsys.exe нет вообще.
    ну тогда пофиксить и эти
    Код:
    O4 - HKLM\..\Run: [Nord] C:\WINDOWS\system32\nordsys.exe
    O4 - HKCU\..\Run: [Nord] C:\WINDOWS\system32\nordsys.exe
    ps какие проблемы остались?

  • Уважаемый(ая) adm_tolik_in, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите удалить Trojan-Proxy.Win32.Agent.bbf
      От Alevtina в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2009, 13:08
    2. Trojan-Proxy.Win32.Agent.mj
      От Kapiton в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:42
    3. Trojan-proxy.win32.agent.net
      От web22 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.02.2009, 21:35
    4. Win32.Autorun.j и Troyan-Proxy.Win32.Agent.lb
      От Noise_Unit в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 20.12.2007, 16:19
    5. Trojan-Proxy.Win32.Agent.uu
      От paps в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.12.2006, 09:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00431 seconds with 20 queries