-
Junior Member
- Вес репутации
- 50
Win32\PSW.Agent.Nor троян
Время от времени выскакивает одно и тоже сообщение антивируса:
Предупреждение антивирусной системы Nod32: AMON - сканер по доступу
Сведения о тревоге
Файл
C:\WINDOWS\svchost.exe
Вирус:
модифицированный Win32\PSW.Agent.Nor троян
Комментарий:
Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\services.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
Сканировал много раз, разными антивирусами
Буду признателен за помощь. Все требуемые логи прикреплены
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,C:\WINDOWS\system32\74c9f4e3.exe,C:\WINDOWS\system32\zgwzwz.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\Admin\ctfmon.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\gfwtabtj.sys','');
DeleteService('gfwtabtj');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\fwmobgxcckck.sys','');
DeleteService('peicgsfff');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\attfcbj.sys','');
DeleteService('twdllp');
QuarantineFile('C:\WINDOWS\system32\74c9f4e3.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\zgwzwz.exe','');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\csrxx.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\csrxx.exe');
DeleteFile('C:\WINDOWS\system32\zgwzwz.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\system32\74c9f4e3.exe');
BC_DeleteSvc('twdllp');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\attfcbj.sys');
BC_DeleteSvc('peicgsfff');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\fwmobgxcckck.sys');
BC_DeleteSvc('gfwtabtj');
DeleteFile('C:\WINDOWS\system32\Drivers\gfwtabtj.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\gfwtabtj.sys');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
Логи сделал
Файл quarantine.zip по ссылке не загружается:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
-
-
-
Junior Member
- Вес репутации
- 50
Да, спасибо! Сообщения больше не появляются
-
Ещё строчку в HJT пофиксите:
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\gfwtabtj.sys - Rootkit.Win32.Agent.bljk ( DrWEB: Trojan.NtRootKit.6794, BitDefender: Trojan.Tdss.3414, AVAST4: Win32:Crypt-HPB [Rtk] )
-