Trojan-Downloader.Win32.Agent.dcbu - лечение возможно?
 

Предыстория: в четверг зовут в бухгалтерию с жалобами на то, что компутер тормозит и вылетает по ошибке svchost.exe. Загрузка с диска восстановления Касперского и проверка обнаруживает несколько троянов и Trojan-Downloader.Win32.Agent.dbgt в ссылку можно тыцкать - она на описание, не на вирь :) Два дня возни с машиной к результатам не приводят - после лечения с CD, восстановления из дистрибутива убитых DLL-ок из sytem32 и перезагрузки, комп, через некоторое время, начинает дергать дисководом. Касперский не запускается, после перезагрузки с CD и проверки - снова dll-ки в system32 поражены. Также появляются в корне диска С:\ файлики DelInfo.bin и booter.exe. Откуда эта зараза лезет найти не могу - сеть отключена, флешек/дискет нет. Снимаю с машины (после очередного лечения с CD) винт, забираю домой.

История: В субботу проверяю Касперским со свежими базами - там новая зверюга: Trojan-Downloader.Win32.Agent.dcbu появилось описание, утром еще не было. На винте инфицирована большая часть *.exe. Касперский лечить не предлагает, предлагает только удаление. Для проверки копирую зараженный файл на виртуалку, запускаю - программа "нормально" запускается, а виртуальная машина начинает знакомо дергать дисководом. Вытащенная на "реальную" машину dll'ка из system32 (appmgmts.dll) при проверке заражена уже Trojan-Downloader.Win32.Agent.dbgu

Итого имеем три разных названия трояна - dcbu, похоже, откладывает "яйца" в виде dbgu (dbgt) :)

Вопрос: возможно ли лечение Trojan-Downloader.Win32.Agent.dcbu? Инфицированная программа запускается как "положено", но Касперский соглашается только удалять. Компутер бухгалтера, на нем всякие 1С и клиент-банки, форматирование винчестера и переустановка системы, конечно, вариант, но очень уж нежелательный...

Логов по правилам сделать не могу - винт с пораженной машины снят; да и не к чему они - диагноз ясен

Замените
чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654

И все-таки лучше вернуть винчестер на родную машину и предоставить логи

Да когда два дня возился и искал, откуда оно лезет, менял уже стопицот раз. Это всё мёртвому припарки, поскольку, как оказалось после проверки Касперским со свежими базами от 12 февраляВопрос не в том, что у меня, вопрос в том, можно ли зараженный файл вылечить? Касперский предлагает только удаление. Гильотина, конечно, действенное средство от головной боли :lol:
Не получится - бухгалтерия и так два дня уже стоит. В понедельник верну винчестер на родную машину и вызову того грамотея, который при обновлении 1С отключил и потом не включил Касперского. Пусть он сам бекапит базы, и переустанавливает винду и весь софт.
Тему пока оставлю как нерешённую.

А смысл от темы если нет логов? Постарайтесь сделать логи - пока ваш грамотей совсем не убил систему.

Такое Касперский предлагает только тогда, когда файл действительно излечить невозможно. Свежий пример из сегодняшней личной практики: mmc.exe заражен Sality.aa (Sector.12 по DrWeb). Предпринимается попытка лечения и в итоге все равно предлагает удаление. Вот такие они коварные файловые вирусы. Причем точно так бы поступил и DrWeb LiveCD, похоже, но настройки сканирования не позволяли сразу удалять неизлечимое