Показано с 1 по 12 из 12.

Помогите... AvpTool определяет как rootkit.win32.agent.bier и не лечит и не удаляет. (заявка № 83662)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    7
    Вес репутации
    50

    Exclamation Помогите... AvpTool определяет как rootkit.win32.agent.bier и не лечит и не удаляет.

    Здравствуйте!
    Поймали вирус, Пробовали проверять Dr.Web cureIt и AvpTool. Вирус находит, но не может его удалить.

    Заметил одну особенность, в безопасном режиме, во время работы и проверки, процесс svchost.exe постоянно рос, при этом в начале проверки он мог занимать 8мб, а к концу более 2,5гб.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    7
    Вес репутации
    50
    прошу прощения, забыл указать что был еще какой-то вирус, если не ошибаюсь троян, который тоже не смог удалить AvpTool. Dr.Web, вроде все почистил и ни на что не ругался....

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    1. Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по cirjewu и выберите "Turn Run Off", потом подтвердите перезагрузку.

    html-лог работы утилиты заархивируйте и прикрепите к своему сообщению


    2.Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\syssec32.exe','');
     QuarantineFile('C:\WINDOWS\system32\ejqikf.exe','');
     QuarantineFile('C:\WINDOWS\system32\bbf2ec30.exe','');
     DeleteFile('C:\WINDOWS\system32\bbf2ec30.exe');
     DeleteFile('C:\WINDOWS\system32\ejqikf.exe');
     DeleteFile('C:\WINDOWS\system32\syssec32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
     DeleteFile('C:\System Volume Information\_restore{70278076-46BF-415B-BFFF-CDD6B2762447}\RP1\A0005069.dll');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteWizard('TSW',2 ,2 ,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)




    3. Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

    А так же сделайте новые логи AVZ и hijackthis

  5. #4
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    7
    Вес репутации
    50
    Все сделал, по ощущениям компьютер стал работать быстрее.

  6. #5
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    7
    Вес репутации
    50
    Забыл заархивировать, извините...

  7. #6
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    7
    Вес репутации
    50
    Проверил AvpToll, Все почистилось)))) Огромное Спасибо!!!!

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFileF('c:\windows\system32', '*.exe,*.bat', false,'', 0, 0, '16.07.2010', '22.07.2010');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
     DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
     DeleteFile('C:\WINDOWS\system32\mssfc.dll');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
     BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - сделайте лог Combofix

  9. #8
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    7
    Вес репутации
    50
    Лога ComboFix, на диске С не оказалось....

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от AlexMakeewUs Посмотреть сообщение
    Лога ComboFix, на диске С не оказалось....
    Попробуйте запустить утилиту еще раз
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    23.07.2010
    Сообщений
    7
    Вес репутации
    50
    Лог ComboFix

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    C:\WINDOWS\system32\pyrxdwz.exe
    C:\WINDOWS\system32\cqdeghu.exe
    C:\WINDOWS\system32\jwislem.exe
    C:\WINDOWS\system32\mredugc.exe
    C:\WINDOWS\system32\dbfd1494.exe
    C:\WINDOWS\system32\mcbuqfs.exe
    C:\WINDOWS\system32\mjbwww.exe
    C:\WINDOWS\system32\garuaob.exe
    C:\WINDOWS\system32\310a425e.exe
    C:\WINDOWS\system32\tkwuink.exe
    C:\WINDOWS\system32\aelysta.exe
    C:\WINDOWS\system32\jyaiye.exe
    C:\WINDOWS\system32\gfedyvh.exe
    C:\WINDOWS\system32\tlowhyw.exe
    C:\WINDOWS\system32\meiilbs.exe
    C:\WINDOWS\system32\pbrkjad.exe
    C:\WINDOWS\system32\sbmnqvz.exe
    C:\WINDOWS\system32\sjhbrbt.exe
    C:\WINDOWS\system32\d88c5ce8.exe
    C:\WINDOWS\system32\bqgygbx.exe
    C:\WINDOWS\system32\ytmqqtc.exe
    C:\WINDOWS\system32\saoncww.exe
    C:\WINDOWS\system32\nbieokq.exe
    C:\WINDOWS\system32\dstvbcw.exe
    C:\WINDOWS\system32\xcxlgjm.exe
    C:\WINDOWS\system32\tmnkfrr.exe
    C:\WINDOWS\system32\aanklaw.exe
    C:\WINDOWS\system32\qoaewgh.exe
    C:\WINDOWS\system32\ommmcrr.exe
    C:\WINDOWS\system32\jmhienp.exe
    
    Driver::
    
    Folder::
    C:\found.000
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\ghvpzyh.exe - Backdoor.Win32.Shiz.gen ( NOD32: Win32/Spy.Shiz.NBG trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system32\lovwgaw.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\uhmufhm.exe - Backdoor.Win32.Shiz.gen ( AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) AlexMakeewUs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 04.09.2010, 01:27
    2. Win32/Rootkit.Agent.ODG Помогите!
      От cybersly в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.08.2009, 20:15
    3. Помогите с Win32/Rootkit.Agent.ODG
      От ArtAndr в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.07.2009, 11:00
    4. Win32/Rootkit.Agent.ODG Помогите!
      От E.V.G. в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.06.2009, 13:09
    5. Ответов: 4
      Последнее сообщение: 12.03.2009, 14:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01229 seconds with 19 queries