Trojan-Dropper.Win32.Agent.cosg

[iceb0y]

Что-то сидит в системе и постоянно создает статический маршрут к сайтам антивирусов.
Прошелся AVPTool, удалил Trojan-Dropper.Win32.Agent.cosg при перезагрузке. Вчера также с помощью AVPTool удалил monoca32.exe и еще несколько вирусов.

Посмотрите, есть ли что еще в системе заразного, пожалуйста.

[polar_owl]

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('c:\windows\system32\heygnn.exe','');
 DeleteFile('c:\windows\system32\heygnn.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.

[iceb0y]

Файл сохранён как 100806_185556_virus_4c5c227c79c3e.zip
Размер файла 106634
MD5 a55705db7a4b1cf175e09ab579e21460

[polword]

- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[polar_owl]

статический маршрут к сайтам антивирусов

Сейчас сайты нормально открываются?

В логах чисто.
Выполните в АВЗ скрипт:

Код:

begin
DeleteFile(GetAVZDirectory + 'virus.zip');
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
end.

После этого выполните процедуру, описанную в первом сообщении:http://virusinfo.info/showthread.php?t=3519
Результат загрузки архива сообщите.

[iceb0y]

polword
вот логи Rsit.

polar_owl,
Сейчас нормально открываются, спасибо.

100806_211633_virusinfo_files_TOXA_4c5c43711e52b.z ip
Размер файла 7683776
MD5 5c44f8de212ffacbda7859addb78df75

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
 QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
 DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 QuarantineFile('C:\WINDOWS\system32\wmvkre.exe','');
 DeleteFile('C:\WINDOWS\system32\wmvkre.exe');
 DeleteFile('C:\Program Files\Common Files\keylog.txt');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT

[iceb0y]

polword,
Файл сохранён как 100806_215431_quarantine_4c5c4c573c067.zip
Размер файла 2313
MD5 c4c66dbe540be03b41daa5abb795b684

[polword]

проверьте наличие файла C:\WINDOWS\System32\sfcfiles.dll, если такого нет восстановите его из дистрибутива.

в остальном чисто

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

[iceb0y]

polword, polar_owl, спасибо, ребят.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\heygnn.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )