не удаляется вирус Trojan.win32.agent2.llh

[Александр81]

каперский антивирус 2012 находит вирус Trojan.win32.agent2.llh и net-worm.win32.kido.ih в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\(папка с произвольным именем), удаляет с перезагрузкой, и на следующий день история повторяется.

полная проверка касперским и др. веб круель когото ловит но не решает проблему

помогите справиться с гадом, пожалуйста

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Tiare]

Александр81, здравствуйте.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('I:\autorun.inf','');
QuarantineFile('absseugo.dll','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\system32\013.tmp','');
DeleteFile('C:\WINDOWS\system32\013.tmp');
DeleteFile('c:\huadio.tmp');
DeleteService('ayultb');
DeleteService('autorun');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Site Advisor Module - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file)

 

 

+ сделайте лог GMER

 

+ Установите Internet Explorer 8 (даже если им не пользуетесь)

 

 

+ Все обновления на ОС установлены? Если нет, то установите все новые обновления для Windows

 

 

+

Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

обновите базы и повторите логи AVZ + RSIT.

 

Все отчеты прикрепите к вашему сообщению.

 

 

 

P.S. компьютер в локальной сети? Пароль на админа (учетки) установлен сложный?

[Александр81]

процедуры провёл, запрос через личный кабинет отправил.

по получению ответа отпишусь. спасибо

 

перечитал Вашу инструкцию, : кое-чего не доделал. сейчас исправлю

Изменено 25 ноября, 2012 пользователем Александр81

[Tiare]

Александр81, логи повторные AVZ, RSIT и лог GMER сделали? Прикрепляйте, не дожидаясь ответа из вирлаба. Основной зловред еще не удален.

[Александр81]

обновил базы, прогнал проверки, логи прилагаю.

после прогнал др.веб круель и он поймал ogpzst.dll в виндовз/систем32

 

з.ы. файл i:/autoran.inf безвреден. принадлежит съёмному диску сиагейт

 

Строгое предупреждение от модератора thyrex

Не прикрепляйте карантин virusinfo_cure.zip к сообщению

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[thyrex]

Вас просили сделать лог gmer. Где он?

[Александр81]

тысяча извинений, забыл - исправляюсь. ради gmerа и тянул ибо долго проверяет

 

з.ы. предупреждению внял

gmerlog.log

[Tiare]

Перед выполнением скрипта выгрузите все защиное ПО, драйвера виртуальных приводов.

 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится f3ylpogp.exe случайное имя утилиты (gmer)

f3ylpogp.exe -del service hbiyz
f3ylpogp.exe -del service umgvu
f3ylpogp.exe -del file "C:\WINDOWS\system32\ogpzst.dll"
f3ylpogp.exe -del file "C:\WINDOWS\system32\ricfmm.dll"
f3ylpogp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umgvu"
f3ylpogp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbiyz"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\umgvu"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hbiyz"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hbiyz"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\umgvu"
f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hbiyz"
f3ylpogp.exe -reboot

 

 

 

+ Устанавливайте все доступные обновления на ОС

 

+ Повтрите логи AVZ и RSIT

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

 

 

Какие проблемы остались?

[Александр81]

скрипт выполнил. заново прогнал AVZ, RSIT и Malwarebytes' Anti-Malware . логи прилагаю.

 

вирус продолжает создавать файлы в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5, касперский ловит но при этом рвётся процесс win32host с общим зависанием системы

mbam_log_2012_11_29__22_08_28_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Изменено 29 ноября, 2012 пользователем Александр81

[thyrex]

C:\setup.exe - это что такое?

 

Новый лог gmer сделайте

 

Удалите в МВАМ только указанные ниже записи

Обнаруженные ключи в реестре:  13
HKCR\CLSID\{6D7B211A-88EA-490c-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{EF62EF34-7E5A-46ac-9383-1949547AF5D6} (Trojan.BHO) -> Действие не было предпринято.
HKCR\ConnectionServices.ConnectionServices.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\ConnectionServices.ConnectionServices (Trojan.BHO) -> Действие не было предпринято.
HKCR\Typelib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{8CB0D898-A6A2-48c3-BBD7-862F85B18D46} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято.
HKCR\JS_Hijack.BHOImpl (Adware.LinkPlacing) -> Действие не было предпринято.
HKCR\JS_Hijack.BHOImpl.1 (Adware.LinkPlacing) -> Действие не было предпринято.
HKCR\AppID\JS_Hijack.DLL (Adware.LinkPlacing) -> Действие не было предпринято.

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> Действие не было предпринято.

Обнаруженные файлы:  8
C:\Documents and Settings\Татьяна\Application Data\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.

[Tiare]

Александр81, а вы обновления на ОС поставили? Расшаренные папки есть? Пароль на учетки сложный?

 

У вас, похоже, новое заражение...

[Александр81]

до обновления не добрался. сети нет (кроме сети провайдера). пользователь один, пароля нет по умолчанию

[Tiare]

до обновления не добрался. сети нет (кроме сети провайдера). пользователь один, пароля нет по умолчанию

кидо с "дырявой системы" не выгнать. Поэтому готовьте новый лог GMER, прикладывайте отчет MBAM после удаления.

 

Закройте все расшаренные папки, поставьте сложный пароль на админа и на основную учетку. Если компьютер в локальной сети - изолируйте его полностью от других на время лечения.

 

 

Заплатки, которые нужно установить в первую очередь, могу залить на файлообменник. Скачать сможете откуда-нибудь?

[Александр81]

скачать смогу

[Tiare]

залила сюда

 

Устанавливайте.