Trojan.Win32.Agent.nbu

[garry1204]

Касперским 7.0 обнаружено : троянская программа Trojan.Win32.Agent.nbu Файл: C:\WINDOWS\KBRDWIN6.DLL.

Вроде лечит, перезагружается и ... опять его находит. Плизз подскажите!

[Kapral]

Добро пожаловать на форум

 

Сделайте логи. Ссылка у меня в подписи (п.1)

[garry1204]

Логи сделала, что дальше делать?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Изменено 10 декабря, 2008 пользователем garry1204

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\winlogon.exe','');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
DeleteFile('C:\Documents and Settings\1\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

 

2.Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\1\winlogon.exe,

 

Сделайте новый комплект логов.

[garry1204]

Ответ получила с newvirus@kaspersky.com. Все положенные логи сделала,касперский больше не показывает окно с обнаржением вируса,но сам вирус не удалился.Это так и долнжно быть?

 

 

Выкладываю новые логи.Вирус не удалился.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Изменено 11 декабря, 2008 пользователем garry1204

[akoK]

А можно увидеть, что за детект вирлаб обозначил?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('CSRBC01', 4);
QuarantineFile('dac960nt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\vadmulti.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\csrbc01.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\csrbc01.sys');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DeleteService('CSRBC01');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

 

 

 

C:\Documents and Settings\1\winlogon.exe - Trojan.Win32.Agent.augk

C:\PROGRA~1\FieryAds\FieryAds.dll - Trojan.Win32.Agent.aug

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[garry1204]

Сделала как написали, не поняла в какое сообщение скопировать?

[ТроПа]

Запустите Malwarebytes' Anti-Malware, перейдите на вкладку отчёты, откройте последний по времени и запостите в своём сообщении его содержание.

Изменено 12 декабря, 2008 пользователем wise-wistful