Trojan-Downloader.Win32.agent.ckwd [LOG+]

[Blood_Rain_X]

у меня такая проблема... на днях обнаружил вирус x-connect, который создает свое соеденение в подключениях и вырубает соединение с инето через 5-10 секунд после его включения.. обновил базы, поудалял троянов в Documents and Settings и вроде все прошло..

 

но чуть позже, при каждом запуске инета появляется это:

 

решил проверить Documents and Settings еще раз, там обнаруживается пару троянов, которых я быро удаляю. и каждый раз когда я запрещаю этому файлу на картинки грузиться, появляется xysfxckx5.exe. вроде если разрешить, то появится этот же файл - xysfxckx5.exe, зараженный траяном. ибо когда я запрещаю загрузку и проверяю xysfxckx5.exe, он не зараженный.

 

вообщем что за ерунда? и как мне бороться с этим постоянным хотением загрузится вирусу и с этим файлом? кста я заметил что трояны стали частенько появляться, в последнее время.

 

мой антивирус: антивирус касперского 7.0.0.125 (пиратский )

 

хелпуйте парни, буду оч благодарен

 

ps посмотрел на сайте касперского и узнал, что данный вирус (Trojan-Downloader.Win32.agent.ckwd) совсем новый.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 6 августа, 2009 пользователем Falcon

[Falcon]

Здравствуйте!

 

Выполните, пожалуйста, эти правила.

[Blood_Rain_X]

привет, где именно взять эти файлы? (virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log)

ps я полный тормроз =)

Изменено 6 августа, 2009 пользователем Blood_Rain_X

[Falcon]

Blood_Rain_X, там все написано. Они будут в директории с AVZ в папке LOG.

[Blood_Rain_X]

ща все сделаю

 

все готово

 

Ps епт ща перезагрузил комп, обратно этот вирус нашло в файле тут - C:\Documents and Settings\Admin\xysfxckx5.exe

 

pps и еще один такой же тут - C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5Z5D5CUJ\closed[1].avi

 

Ppps и кста ща чет табличики не появлялось запретить скачку, каспер ступил наверн. вот они и залетели

Изменено 6 августа, 2009 пользователем Blood_Rain_X

[миднайт]

Прекрасно. А где же логи?

[Blood_Rain_X]

в 1 посте

[Falcon]

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
DelCLSID('77BCK2V0-3HKJ-89VV-XAF2-88KL5R9896622');	 
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('C:\RE\BACK\BcK.exe','');
QuarantineFile('C:\WINDOWS\system32\digest.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\jkos-Admin\binaries\kosglue-7.0.26.0.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\jkos-Admin\binaries\kave.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\jkos-Admin\binaries\FSSync.dll','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\jkos-Admin\binaries\FSSync.dll');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\jkos-Admin\binaries\kave.dll');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\jkos-Admin\binaries\kosglue-7.0.26.0.dll');
DeleteFile('C:\RE\BACK\BcK.exe');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');	   
BC_ImportDeletedList;
ExecuteSysClean;								   
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем такой скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

Пофиксить:

R3 - URLSearchHook: (no name) -  - (no file)

Сделайте новые логи.

[Blood_Rain_X]

ща попоробую все сделать

Изменено 6 августа, 2009 пользователем Blood_Rain_X

[Роман Л.]

Видно троян хорошо прописался в системе. Рекомендую выполнить полную проверку на вирусы в безопасном режиме.

Затем попробовать сделать тоже самое, только в 2009 версии. желательно использовать KIS2009 с модулем контроля активности приложений.

[Blood_Rain_X]

Роман Л., спс за совет, как-нибудь обязательно сделаю.

Falcon, письмо отправил. вот новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 6 августа, 2009 пользователем Blood_Rain_X

[thyrex]

В логах не усматривается ничего плохого. Но...

Внимание ! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

А вирусятина сами говорили свежая. Обновите базы AVZ и сделайте новые логи AVZ

[Blood_Rain_X]

ок, спс) сейчас обновляю базы avz, потом сделаю новые логи

 

логи после обновления avz:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Ничего подозрительного в этих логах также не усматривается.

Что с проблемой?

[Blood_Rain_X]

Вроде все норм.. уже не загружается вирус. вот ток только что был полный подвисон системы когда я играл. полностью все отказало, даже красная кнопочка на системнике. пришлось комп офф. а так больше ничего вроде не было.

 

ВСЕМ БОЛЬШОЕ СПАСИБО!

Изменено 6 августа, 2009 пользователем Blood_Rain_X