Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помоготе избавиться от TrojanProxy.Agent.NCI

1 2 След.
RSS
 
Aor
Aor
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.01.2012
Размещено 18.01.2012 18:03:25
Помогите избавиться от вируса!
Nod обнаруживает вирус, однако очистить не может и выскакивают следующие сообщения:
C:\WINDOWS\system32\lsass.exe - Win32/TrojanProxy.Agent.NCI вирус - Ошибка при очистке
C:\WINDOWS\system32\services.exe - Win32/TrojanProxy.Agent.NCI вирус - Ошибка при очистке
C:\WINDOWS\system32\spoolsv.exe - вероятно модифицированный  Win32/Agent.NJOECEQ  троянская программа - очистка невозможна
C:\WINDOWS\system32\svchost.exe - Win32/TrojanProxy.Agent.NCI вирус - Ошибка при очистке
C:\WINDOWS\system32\winlogon.exe - Win32/TrojanProxy.Agent.NCI вирус - Ошибка при очистке

Вот лог uVS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 18.01.2012 18:09:50
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\NEW\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ЎЎЎЎЎЎ.LNK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ЎЎЎЎЎЎ.LNK
delref HTTP://WWW.ASK.COM/?L=DIS&O=13760
zoo %SystemRoot%\TSNP2UVC.EXE
bl A138D863EC51FF63EFA4BDC4048ED599 320512
delall %SystemRoot%\TSNP2UVC.EXE
deltmp
delnfr
regt 2
regt 1
regt 3
regt 13
regt 14
regt 12
regt 17
regt 18
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected].  Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
Правильно заданный вопрос - это уже половина ответа
 
Aor
Aor
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.01.2012
Размещено 18.01.2012 19:08:12
Архив отправил, а вот лог:
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 18.01.2012 19:35:07
удаляем все найденное. перезагружаемся, делаем повторный лог
Правильно заданный вопрос - это уже половина ответа
 
Aor
Aor
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.01.2012
Размещено 18.01.2012 21:41:01
лог после удаления, перезагрузки и повторного сканирования:
Изменено: Aor - 18.01.2012 21:42:15
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 18.01.2012 22:58:49
Что с проблемой?
 
Aor
Aor
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.01.2012
Размещено 19.01.2012 12:58:01
Ничего не изменилось, вирус находит, но удалить не может...
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 19.01.2012 15:10:06
Я думаю нужно использовать вот это
http://esetnod32.ru/.download/livecd/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 21:51:53
да, надо пролечивать с помощью Live.CD, и очень аккуратно с очисткой системных файлов.
Анализ файлов в списке...
Цитата
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\WINLOGON.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SERVICES.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SERVICES.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\LSASS.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\LSASS.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SVCHOST.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SVCHOST.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SPOOLSV.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
Подозрительные и вирусы
Цитата
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\LSASS.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SERVICES.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
Дата: 2010-10-31 [2009-03-16 10:36:23 UTC ( 2 years, 10 months ago )]
probably a variant of Win32/Agent.NJOECEQ [NOD32]
Trojan Horse [Symantec]
Win32:Trojan-gen [Avast]
Trojan.Generic.1761669 [BitDefender]
TR/Patched.CX.1 [AntiVir]
Детектов: 5 из 9
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 19.01.2012 22:07:32
интересно как можно заразиться таким древним вирусом? скорее всего антивирус был установлен уже после заражения, с целью полечиться. так бы он его вряд ли пропустил
Правильно заданный вопрос - это уже половина ответа
 
1 2 След.
Читают тему