Предыстория: в четверг зовут в бухгалтерию с жалобами на то, что компутер тормозит и вылетает по ошибке svchost.exe. Загрузка с диска восстановления Касперского и проверка обнаруживает несколько троянов и Trojan-Downloader.Win32.Agent.dbgt (http://www.securelist.com/ru/descriptions/4182634/Trojan-Downloader.Win32.Agent.dbgt) в ссылку можно тыцкать - она на описание, не на вирь :) Два дня возни с машиной к результатам не приводят - после лечения с CD, восстановления из дистрибутива убитых DLL-ок из sytem32 и перезагрузки, комп, через некоторое время, начинает дергать дисководом. Касперский не запускается, после перезагрузки с CD и проверки - снова dll-ки в system32 поражены. Также появляются в корне диска С:\ файлики DelInfo.bin и booter.exe. Откуда эта зараза лезет найти не могу - сеть отключена, флешек/дискет нет. Снимаю с машины (после очередного лечения с CD) винт, забираю домой.

История: В субботу проверяю Касперским со свежими базами - там новая зверюга: Trojan-Downloader.Win32.Agent.dcbu (http://www.securelist.com/ru/search?VN=Trojan-Downloader.Win32.Agent.dcbu&referer=kis) появилось описание, утром еще не было. На винте инфицирована большая часть *.exe. Касперский лечить не предлагает, предлагает только удаление. Для проверки копирую зараженный файл на виртуалку, запускаю - программа "нормально" запускается, а виртуальная машина начинает знакомо дергать дисководом. Вытащенная на "реальную" машину dll'ка из system32 (appmgmts.dll) при проверке заражена уже Trojan-Downloader.Win32.Agent.dbgu (http://www.securelist.com/ru/search?VN=Trojan-Downloader.Win32.Agent.dbgu&referer=kis)

Итого имеем три разных названия трояна - dcbu, похоже, откладывает "яйца" в виде dbgu (dbgt) :)

Вопрос: возможно ли лечение Trojan-Downloader.Win32.Agent.dcbu (http://www.securelist.com/ru/search?VN=Trojan-Downloader.Win32.Agent.dcbu&referer=kis)? Инфицированная программа запускается как "положено", но Касперский соглашается только удалять. Компутер бухгалтера, на нем всякие 1С и клиент-банки, форматирование винчестера и переустановка системы, конечно, вариант, но очень уж нежелательный...

Логов по правилам сделать не могу - винт с пораженной машины снят; да и не к чему они - диагноз ясен

Замените
System32\appmgmts.dll
System32\qmgr.dllчистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654

Логов по правилам сделать не могу - винт с пораженной машины снят; да и не к чему они - диагноз ясен »И все-таки лучше вернуть винчестер на родную машину и предоставить логи

Замените »
Да когда два дня возился и искал, откуда оно лезет, менял уже стопицот раз. Это всё мёртвому припарки, поскольку, как оказалось после проверки Касперским со свежими базами от 12 февраляинфицирована большая часть *.exe »
Вопрос не в том, что у меня, вопрос в том, можно ли зараженный файл вылечить? Касперский предлагает только удаление. Гильотина, конечно, действенное средство от головной боли :lol:
И все-таки лучше вернуть винчестер на родную машину и предоставить логи »
Не получится - бухгалтерия и так два дня уже стоит. В понедельник верну винчестер на родную машину и вызову того грамотея, который при обновлении 1С отключил и потом не включил Касперского. Пусть он сам бекапит базы, и переустанавливает винду и весь софт.
Тему пока оставлю как нерешённую.

ему пока оставлю как нерешённую. »
А смысл от темы если нет логов? Постарайтесь сделать логи - пока ваш грамотей совсем не убил систему.

можно ли зараженный файл вылечить? Касперский предлагает только удаление »Такое Касперский предлагает только тогда, когда файл действительно излечить невозможно. Свежий пример из сегодняшней личной практики: mmc.exe заражен Sality.aa (Sector.12 по DrWeb). Предпринимается попытка лечения и в итоге все равно предлагает удаление. Вот такие они коварные файловые вирусы. Причем точно так бы поступил и DrWeb LiveCD, похоже, но настройки сканирования не позволяли сразу удалять неизлечимое