TR/Agent.Hidding.I Trojan

**000Bars** · 18.11.2010, 12:36

Добрый день, Уважаемые Virusinfo.
Проблема заключается в следующем:
На рабочий компьютер попал вирус, антивирусник (AVIRA) определил его как TR/Agent.Hidding.I Trojan при этом, на рабочей флешке, всегда стоящей в данном компьютере AVIRA запрещает открывать любую папку (формат папки изменился теперь они идут как файлы с окончанием .exe)
Прогнав антивирусником (углубленно) систему обнаружил и удалил еще пяток вирусов... но проблема все равно осталась...
Проблема осложняется еще и тем, что информация на HDD важная и ее потеря будет невосполнима!
Терпим бедствие и просим о помощи!
Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 18.11.2010, 12:45

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20101118-100215-4E333595\ARK12.tmp','');  
 DeleteService('CSNetManagerXp');
 QuarantineFile('C:\WINDOWS\system32\isass.exe','');
 QuarantineFile('C:\WINDOWS\system32\anpla.dll','');
 DeleteFile('C:\WINDOWS\system32\anpla.dll');
 DeleteFile('C:\WINDOWS\system32\isass.exe');
 BC_DeleteSvc('CSNetManagerXp');   
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(8);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Сделайте лог Гмер

**000Bars** · 18.11.2010, 14:25

Закройте все программы - выполнено.
Отключите
- ПК от интернета/локалки. - отключили.
- Антивирус и Файрвол - отключили.
- Системное восстановление - отключили.

Пофиксите в hijackthis - выполнено.
Выполните скрипт в АВЗ - выполнено.

После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

Выполнили. Карантин загрузили.

Файл сохранён как 101118_143503_quarantine_4ce50f6779282.zip
Размер файла 323411
MD5 fa86de3d81033e8542d734bc1debf1af

Avira все равно, на данный момент ругается на папки флеш карты, определяя их как *.exe. Что с этим можно сделать? С отключенным антивиром, папки вроде как нормальные, содержимое в них имеется, и все вроде нормально... может сам антивирус попал в радиус заражения каким-то образом?

Логи AVZ и Hijackthis сделать заново?

**olejah** · 18.11.2010, 14:44

- Сохраните текст ниже как 1.bat в ту же папку, где находится trc88tud.exe(GMER) и запустите этот батник(1.bat):

Код:

trc88tud.exe -del service xrlker
trc88tud.exe -del file "C:\WINDOWS\system32\gitntiep.dll"
trc88tud.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xrlker"
trc88tud.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xrlker"
trc88tud.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer

**000Bars** · 18.11.2010, 16:41

Сделали все как Вы сказали...
Прикладываем логи...

Avira все равно блокирует флешку говоря, что на ней тот же вирус... можно ли с этим что-то сделать?

**olejah** · 18.11.2010, 16:52

Просьба - поймите пожалуйста, что мы сейчас занимаемся тем, что вычищаем компьютер, он сам заражён. Флешкой обязательно займёмся.

Логи АВЗ выложили старые, нужны новые. При снятии логов, флешка должна быть подключена, если Вы хотите решить вопрос с ней.

**000Bars** · 18.11.2010, 17:00

Да, конечно, понимаем, простите нашу маленькую некомпетентность...
Логи сняли - прикрепляем.

**thyrex** · 18.11.2010, 21:41

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('CSNetManagerXp', 4);
 DeleteService('CSNetManagerXp');
 TerminateProcessByName('c:\windows\system32\isass.exe');
 DeleteFile('c:\windows\system32\isass.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20101118-100215-4E333595\ARK12.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

**000Bars** · 19.11.2010, 10:29

Выполните скрипт в AVZ - выполнено.
Прикрепляем логи.

**olejah** · 19.11.2010, 11:32

Что с проблемой?

**000Bars** · 19.11.2010, 11:37

При работе с компьютером на данный момент вроде все нормально.
На флешке все равно AVIRA упорно видит папки как *.exe и определят их как TR/Agent.Hidding.I Trojan... что делать там тоже много важной информации...=(
Если антивирусник выключить по папки преображаться в папки и все вроде нормально... ничего не могу понять...

**olejah** · 19.11.2010, 11:41

Просканируйте флешку программой МВАМ (правой кнопкой мыши и в проводнике "Просканировать Malwarebytes Antimalware") Лог работы утилиты приложите к следующему сообщению.

**000Bars** · 19.11.2010, 12:02

Просканируйте флешку программой МВАМ (правой кнопкой мыши и в проводнике "Просканировать Malwarebytes Antimalware") Лог работы утилиты приложите к следующему сообщению. - просканировали, пищало все долго... а из зараженных - 1 фаил.

Прикрепляем лог.

**olejah** · 19.11.2010, 12:08

Найденный файл Вам знаком?

Напишите точные имена определяемых Авирой файлов.

**000Bars** · 19.11.2010, 12:10

Да это не фаил, программа его тоже определила как *.exe, а на самом деле это целая папка "Договора" - все заключенные с начала года договора там=(

**olejah** · 19.11.2010, 12:12

Не факт, у Вас включено отображение расширений для зарегистрированных типов файлов?

**000Bars** · 19.11.2010, 12:26

Все папки на флешки, AVIRA блокирует как атаки выводя одну и туже надпись
Is the TR/Agent.Hidding.I Trojan
Да, стоит, я говорю как он их определяет.

**olejah** · 19.11.2010, 12:29

Так, Вы меня не поняли, ещё раз - Открываем окно проводника - Сервис - Свойства папки - Вид, а теперь внимательно - стоит ли галка напротив "Скрывать расширения для зарегистрированных типов файлов"?

**000Bars** · 19.11.2010, 13:24

ДА стоит... и самое главное, что не могу это убрать... точнее убираю, но ничего не меняется. Нажимаю применить и при повторном заходе в свойства папки-вид, галки опять стоят...

14.15 ... при полном сканировании программа выдает аш 29!
Лог прикрепляем.

**thyrex** · 19.11.2010, 20:21

Удалите в МВАМ все, кроме

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.