Показано с 1 по 13 из 13.

Прошу помочь убрать остатки Trojan.Win32.Agent2.cqzi (Лаборатория Касперского) aka 3381 (заявка № 78889)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    28

    Thumbs up Прошу помочь убрать остатки Trojan.Win32.Agent2.cqzi (Лаборатория Касперского) aka 3381

    С заразой боролся три дня. Усугублялась ситуация тем, что вирус вместо простого запуска ОС и блокировки ее возможностей уходил на BSOD.
    Кое-как удалось загрузиться в безопасном режиме и узнать внешние признаки заразы, поселившейся системы.
    Далее была установлена чистая ОС, чтобы получить доступ к интернету и выяснить, что скрывалось за внешностью заразы и как с ней бороться.

    В общем так или иначе, путем долгой борьбы с подключением тех.под. агрегатора сейчас вирус в основном побежден (вроде бы).

    Прошу помощи в окончательной (надеюсь) победе над заразой.
    Логи в приложении

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по jybqs и выберите "Turn Run Off". Подтвердите перезагрузку.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp3FDF.tmp','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\jybqs.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\jybqs.sys');
     RegSearch('HKLM', '', 'esp3FDF');
     SaveLog(GetAVZDirectory + 'avz.log');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); 
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + прикрепите лог avz.log из папки AVZ

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    28
    Карантин выслан. Логи - в приложении.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    прикрепите лог avz.log из папки AVZ

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    28
    Сорри, забыл

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp3FDF.tmp','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\wwemve.sys','');
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\B425DEDD');
    RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\B425DEDD');
    RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\B425DEDD');
     DeleteFile('C:\WINDOWS\system32\Drivers\wwemve.sys');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp3FDF.tmp');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог virusinfo_syscheck.zip

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,524
    Вес репутации
    3021
    Дополнительно к совету DefesT

    Лог http://virusinfo.info/showpost.php?p=493610&postcount=1 также сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    28
    Карантин выслал, логи в приложении
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,524
    Вес репутации
    3021
    c:\windows\system32\ikm.dll проверьте на virustotal
    Ссылку на результат проверки сообщите

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    hxpww
    rtjlnw
    wwemve
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,524
    Вес репутации
    3021
    Удалите файл

    Удалите ComboFix

    Больше ничего плохого. Проблем не осталось?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    42
    Вес репутации
    28
    Спасибо, вроде больше проблем не наблюдается

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\jybqs.sys - Rootkit.Win32.Bubnix.ap ( DrWEB: Trojan.NtRootKit.7760, BitDefender: Trojan.Generic.4014339, AVAST4: Win32:Bubnix [Rtk] )


  • Уважаемый(ая) simplep, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. прошу помочь с Trojan.Win32.Ddox.ci
      От NooB~s в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.06.2011, 13:57
    2. Прошу помочь убрать баннер
      От 2Greek в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.02.2011, 10:02
    3. у меня антивирусник выдает Trojan.Win32.Agent2.cqzi (заявка №19693)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 14.07.2010, 05:00
    4. Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение
      От NickGolovko в разделе Вредоносные программы
      Ответов: 52
      Последнее сообщение: 13.06.2010, 06:19
    5. Прошу помочь вычистить остатки гадости.
      От YuriJJ в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 29.03.2010, 17:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00046 seconds with 17 queries