Win32\PSW.Agent.Nor троян

**Konstruktor** · 19.09.2010, 20:07

Время от времени выскакивает одно и тоже сообщение антивируса:

Предупреждение антивирусной системы Nod32: AMON - сканер по доступу
Сведения о тревоге
Файл
C:\WINDOWS\svchost.exe
Вирус:
модифицированный Win32\PSW.Agent.Nor троян
Комментарий:
Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\services.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.

Сканировал много раз, разными антивирусами

Буду признателен за помощь. Все требуемые логи прикреплены

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 19.09.2010, 20:19

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,C:\WINDOWS\system32\74c9f4e3.exe,C:\WINDOWS\system32\zgwzwz.exe,

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Admin\ctfmon.exe','');
 DeleteFile('C:\Documents and Settings\Admin\ctfmon.exe');
 QuarantineFile('C:\WINDOWS\system32\Drivers\gfwtabtj.sys','');
 DeleteService('gfwtabtj');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\fwmobgxcckck.sys','');
 DeleteService('peicgsfff');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\attfcbj.sys','');
 DeleteService('twdllp');
 QuarantineFile('C:\WINDOWS\system32\74c9f4e3.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\zgwzwz.exe','');
 DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\csrxx.exe','');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\csrxx.exe');
 DeleteFile('C:\WINDOWS\system32\zgwzwz.exe');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('C:\WINDOWS\system32\74c9f4e3.exe');
 BC_DeleteSvc('twdllp');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\attfcbj.sys');
 BC_DeleteSvc('peicgsfff');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\fwmobgxcckck.sys');
 BC_DeleteSvc('gfwtabtj');
 DeleteFile('C:\WINDOWS\system32\Drivers\gfwtabtj.sys');  
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

**Konstruktor** · 19.09.2010, 22:38

сделано

**Никита Соловьев** · 20.09.2010, 01:02

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
 DeleteFile('C:\WINDOWS\system32\rescue32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\drivers\gfwtabtj.sys');
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи

**Konstruktor** · 20.09.2010, 23:43

Логи сделал

Файл quarantine.zip по ссылке не загружается:

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

**Никита Соловьев** · 20.09.2010, 23:55

Чисто

**Konstruktor** · 20.09.2010, 23:57

Да, спасибо! Сообщения больше не появляются

**Никита Соловьев** · 21.09.2010, 00:02

Ещё строчку в HJT пофиксите:

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

**CyberHelper** · 22.09.2010, 00:02

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 16
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\gfwtabtj.sys - Rootkit.Win32.Agent.bljk ( DrWEB: Trojan.NtRootKit.6794, BitDefender: Trojan.Tdss.3414, AVAST4: Win32:Crypt-HPB [Rtk] )

Win32\PSW.Agent.Nor троян (заявка № 88284)

Опции темы

Win32\PSW.Agent.Nor троян

Итог лечения

Похожие темы

Троян. Win32 Agent-QTR

win32/agent.NVL троян

троян Win32/PSW.Agent.NHG

Троян win32.agent.cz

Win32.Agent троян

Ваши права в разделе