Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/AgentEMHYVFI - очистка невозможна

RSS
 
id6124546
id6124546
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 26.12.2011
Размещено 26.12.2011 20:30:15
Добрый день, сегодня подцепили троян и не можем избавиться.
Помогите пожалуйста! :cry:

Ответы

Пред. 1 2
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 26.12.2011 22:19:15
id6124546

Universal Netboot Installer

Практически все носят при себе USB флеш-карту, сохраняя на ней важные файлы и документы, однако у нее может быть и другое, не менее полезное применение.

Программа Universal Netboot Installer, может записать на флеш-карту установочный дистрибутив Linux/BSD-системы. От вас потребуется только образ дистрибутива, а все остальное программа сделает сама. Помимо данной функции UNetbootin может установить вторую OC на компьютер или заменить уже существующую. Достаточно лишь выбрать нужный диск из списка.

http://unetbootin.sourceforge.net/

Условия распространения: Open Source
unetbootin-win.jpg (37.03 КБ)
 
id6124546
id6124546
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 26.12.2011
Размещено 26.12.2011 23:18:23
Вообщем, записала я на диск, сделала все по Вашей инструкции, через Биос, а там - тщательная очистка, но троян остался. Живее всех живых и удаляться не хочет. Прикрепляю лог
eset_sysrescue с LiveCD
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 27.12.2011 10:04:46
id6124546, не понятно, что Вы прикрепили в архиве? Кодировка не распознается.
ESET Technical Support
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.12.2011 10:47:43
это журнал обнаружения угроз называется, не лог сканирования.
Цитата
26.12.2011 22:23:16 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\logonui.exe вероятно модифицированный  Win32/Agent.HTKKRRV  троянская программа очистка невозможна PHILKA\usver
26.12.2011 22:21:57 Защита в режиме реального времени файл C:\WINDOWS\system32\logonui.exe вероятно модифицированный  Win32/Agent.EMHYVFI  троянская программа очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\winlogon.exe.
26.12.2011 22:21:57 Защита в режиме реального времени файл C:\WINDOWS\system32\logonui.exe вероятно модифицированный  Win32/Agent.EMHYVFI  троянская программа очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe.
26.12.2011 22:21:57 Защита в режиме реального времени файл C:\WINDOWS\system32\logonui.exe вероятно модифицированный  Win32/Agent.EMHYVFI  троянская программа очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe.
следует, либо скан не был выполнен из под Live.CD, либо сканер не смог очистить этот системный файл,

надо пробовать либо заменить его на чистый (с аналогичной системы),

либо сканировать другим сканером.
Изменено: santy - 27.12.2011 10:49:20
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.12.2011 10:51:15
uVS показывает, что файл пропатчен

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\LOGONUI.EXE
Имя файла                   LOGONUI.EXE
Тек. статус                 ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2011-12-21 [2008-07-10]
AntiVir                     TR/Patched.131072
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      130560 байт
Создан                      09.03.2006 в 06:17:26
Изменен                     09.03.2006 в 06:17:26
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Файл                        Возможно защищенный файл
                           
Доп. информация             на момент обновления списка
SHA1                        9756C8A97A9B54E9FBB592F9ACFB9E654430C8F4
MD5                         53F12D7FB9EB737CB768DE7A8836F1FE
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
UIHost                      logonui.exe
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.12.2011 10:55:55
система не обновляемая
Цитата
uVS v3.73: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 2 [C:\WINDOWS]
если есть установочный диск XP SP2, пробуйте выполнить
восстановление системы
Цитата
sfc /scannow
http://support.microsoft.com/kb/310747/ru
либо из под Live.CD перезаписать logonui.exe чистыйм файлом из дистра.
[ Как создать образ автозапуска? ]
 
id6124546
id6124546
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 26.12.2011
Размещено 27.12.2011 16:06:08
Установочного диска нет. А как перезаписать чистым файлом из дистра? и подойдет ли с XP SP2 если у меня версия 2007, а возьму с версии 2002?
 
id6124546
id6124546
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 26.12.2011
Размещено 27.12.2011 18:26:13
Все, нашла и заменила. После этого троян первый исчез и Нод удалил второй. Всем спасибо, тему можно закрыть)
 
Пред. 1 2
Читают тему