Помогите удалить вирус Trojan-dropper.Win32.agent.albv

[sanalejandro]

Помгите удалить вирус. Trojan-dropper.Win32.agent.albv

 

Примерно через 5 минут после загрузки винды, что-то рушит подключение к интернету(у меня выделенка). KIS 8 находит Trojan-Dropper.Win32.Agent.albv в файлах C:\WINDOWS\system32\drivers\sysdrv32.sys, удаляет этот файл, восстановить его уже не могу, пишет не найден, так же в файле C:\WINDOWS\system32\12.scr . format с, с последующей переустановкой windows xp sp2 не помогает. при перезагрузке компа все повторяется. помогите ламеру советом. как убить эту дрянь?

[thyrex]

Помгите удалить вирус. Trojan-dropper.Win32.agent.albv

 

Примерно через 5 минут после загрузки винды, что-то рушит подключение к интернету(у меня выделенка). KIS 8 находит Trojan-Dropper.Win32.Agent.albv в файлах C:\WINDOWS\system32\drivers\sysdrv32.sys, удаляет этот файл, восстановить его уже не могу, пишет не найден, так же в файле C:\WINDOWS\system32\12.scr . format с, с последующей переустановкой windows xp sp2 не помогает. при перезагрузке компа все повторяется. помогите ламеру советом. как убить эту дрянь?

Сначала Вам на выполнение правил

[sanalejandro]

сделал. как написано.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

АВЗ удалила их из точек восстановления.

Поищите при помощи АВЗ--сервис--поиск файлов на диске sysdrv32.sys и 12.scr. Если найдутся привидите полные пути к ним.

[sanalejandro]

не нашел он эти файлы. у меня через каждые 10-15 минут подключение к интернету отрубается так, что я даже окно состояния подключения не могу открыть и это подключение разъеденить, на секунду окно состояния появляется и сразу пропадает, приходится перезагружать комп постоянно.

пишет такую ошибку-

 

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

 

Подпись ошибки

szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown

szModVer : 0.0.0.0 offset : 001f1cb0

[ТроПа]

Registry Clean Expert - установлено вами? В автозагрузке оно вам нужно?

В АВЗ включите AVZPM и повторите логи.

Изменено 31 марта, 2009 пользователем wise-wistful

[sanalejandro]

новые логи.

только хотел попросить, если поможете с вирусом, объяснить поподробней, пошагово, как от него избавиться. спасибо

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

Хм.

 

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Выложите логи ComboFix и Gmer.

[sanalejandro]

логи

gmer.log

ComboFix.txt

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('c:\windows\system32\03.scr','');
QuarantineFile('c:\windows\system32\12.scr','');
QuarantineFile('c:\windows\system32\55.scr','');
QuarantineFile('c:\windows\system32\61.scr','');
QuarantineFile('c:\windows\system32\35.scr','');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

[sanalejandro]

ну и что делать? мне вирус постоянно заражает файлы C:\WINDOWS\system32\15.scr C:\WINDOWS\system32\25.scr и прочие через 10-15 минут после запуска системы падает сетевое подключение.

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\03.scr');
DeleteFile('c:\windows\system32\12.scr');
DeleteFile('c:\windows\system32\55.scr');
DeleteFile('c:\windows\system32\61.scr');
DeleteFile('c:\windows\system32\35.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи и АВЗ и Комбофикса.

[sanalejandro]

все сделал, вот логи.

у меня постоянно пишет эту ошибку и отключает подключение к интернету...

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

 

Подпись ошибки

szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown

szModVer : 0.0.0.0 offset : 001f1cb0

virusinfo_syscheck.zip

virusinfo_syscure.zip

ComboFix.txt

[ТроПа]

Отключите восстановление системы.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

Изменено 2 апреля, 2009 пользователем wise-wistful

[akoK]

В карантине BackDoor.IRC.Sdbot.4752 (dr.web)

 

И по касперскому Worm.Win32.AutoRun.fla. Обновите базы и проверьте систему.

Изменено 2 апреля, 2009 пользователем akoK