Перейти к содержанию

не удаляется вирус Trojan.win32.agent2.llh


Рекомендуемые сообщения

каперский антивирус 2012 находит вирус Trojan.win32.agent2.llh и net-worm.win32.kido.ih в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\(папка с произвольным именем), удаляет с перезагрузкой, и на следующий день история повторяется.

полная проверка касперским и др. веб круель когото ловит но не решает проблему

помогите справиться с гадом, пожалуйста

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на сообщение
Поделиться на другие сайты

Александр81, здравствуйте.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('I:\autorun.inf','');
QuarantineFile('absseugo.dll','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\system32\013.tmp','');
DeleteFile('C:\WINDOWS\system32\013.tmp');
DeleteFile('c:\huadio.tmp');
DeleteService('ayultb');
DeleteService('autorun');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Site Advisor Module - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file)

 

 

+ сделайте лог GMER

 

+ Установите Internet Explorer 8 (даже если им не пользуетесь)

 

 

+ Все обновления на ОС установлены? Если нет, то установите все новые обновления для Windows

 

 

+

Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

обновите базы и повторите логи AVZ + RSIT.

 

Все отчеты прикрепите к вашему сообщению.

 

 

 

P.S. компьютер в локальной сети? Пароль на админа (учетки) установлен сложный?

Ссылка на сообщение
Поделиться на другие сайты

процедуры провёл, запрос через личный кабинет отправил.

по получению ответа отпишусь. спасибо

 

перечитал Вашу инструкцию, : кое-чего не доделал. сейчас исправлю

Изменено пользователем Александр81
Ссылка на сообщение
Поделиться на другие сайты

Александр81, логи повторные AVZ, RSIT и лог GMER сделали? Прикрепляйте, не дожидаясь ответа из вирлаба. Основной зловред еще не удален.

Ссылка на сообщение
Поделиться на другие сайты

обновил базы, прогнал проверки, логи прилагаю.

после прогнал др.веб круель и он поймал ogpzst.dll в виндовз/систем32

 

з.ы. файл i:/autoran.inf безвреден. принадлежит съёмному диску сиагейт

 

Строгое предупреждение от модератора thyrex
Не прикрепляйте карантин virusinfo_cure.zip к сообщению

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на сообщение
Поделиться на другие сайты

тысяча извинений, забыл - исправляюсь. ради gmerа и тянул ибо долго проверяет

 

з.ы. предупреждению внял

gmerlog.log

Ссылка на сообщение
Поделиться на другие сайты

Перед выполнением скрипта выгрузите все защиное ПО, драйвера виртуальных приводов.

 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится f3ylpogp.exe случайное имя утилиты (gmer)

f3ylpogp.exe -del service hbiyz
f3ylpogp.exe -del service umgvu
f3ylpogp.exe -del file "C:\WINDOWS\system32\ogpzst.dll"
f3ylpogp.exe -del file "C:\WINDOWS\system32\ricfmm.dll"
f3ylpogp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umgvu"
f3ylpogp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbiyz"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\umgvu"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hbiyz"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hbiyz"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\umgvu"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hbiyz"
f3ylpogp.exe -reboot

 

 

 

+ Устанавливайте все доступные обновления на ОС

 

+ Повтрите логи AVZ и RSIT

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

 

 

Какие проблемы остались?

Ссылка на сообщение
Поделиться на другие сайты

скрипт выполнил. заново прогнал AVZ, RSIT и Malwarebytes' Anti-Malware . логи прилагаю.

 

вирус продолжает создавать файлы в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5, касперский ловит но при этом рвётся процесс win32host с общим зависанием системы

mbam_log_2012_11_29__22_08_28_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Изменено пользователем Александр81
Ссылка на сообщение
Поделиться на другие сайты

C:\setup.exe - это что такое?

 

Новый лог gmer сделайте

 

Удалите в МВАМ только указанные ниже записи

Обнаруженные ключи в реестре:  13
HKCR\CLSID\{6D7B211A-88EA-490c-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{EF62EF34-7E5A-46ac-9383-1949547AF5D6} (Trojan.BHO) -> Действие не было предпринято.
HKCR\ConnectionServices.ConnectionServices.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\ConnectionServices.ConnectionServices (Trojan.BHO) -> Действие не было предпринято.
HKCR\Typelib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{8CB0D898-A6A2-48c3-BBD7-862F85B18D46} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято.
HKCR\JS_Hijack.BHOImpl (Adware.LinkPlacing) -> Действие не было предпринято.
HKCR\JS_Hijack.BHOImpl.1 (Adware.LinkPlacing) -> Действие не было предпринято.
HKCR\AppID\JS_Hijack.DLL (Adware.LinkPlacing) -> Действие не было предпринято.

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> Действие не было предпринято.

Обнаруженные файлы:  8
C:\Documents and Settings\Татьяна\Application Data\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.

Ссылка на сообщение
Поделиться на другие сайты

Александр81, а вы обновления на ОС поставили? Расшаренные папки есть? Пароль на учетки сложный?

 

У вас, похоже, новое заражение...

Ссылка на сообщение
Поделиться на другие сайты
до обновления не добрался. сети нет (кроме сети провайдера). пользователь один, пароля нет по умолчанию

кидо с "дырявой системы" не выгнать. Поэтому готовьте новый лог GMER, прикладывайте отчет MBAM после удаления.

 

Закройте все расшаренные папки, поставьте сложный пароль на админа и на основную учетку. Если компьютер в локальной сети - изолируйте его полностью от других на время лечения.

 

 

Заплатки, которые нужно установить в первую очередь, могу залить на файлообменник. Скачать сможете откуда-нибудь?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...