Junior Member
Вес репутации
55
Win32/Rootkit.Agent.ODG.
Примерно сутки назад поймал вирус Win32/Rootkit.Agent.ODG.
Был обнаружен триал-версией NOD32 antivirus 4, сидит в оперативке, очистка невозможна.
После перезагрузки компа, интернетэксплорер отказывался открыватся. После нескольких перезагрузок интернет стал доступен.
Скачал Dr.Web в тестовом режиме и сделала им полную проверку.
Он что-то подчистил. Я его удалил и опять поставил NOD.
При перезагрузке наличие вируса подтвердилось.
По совету знакомого, обращаюсь к вам.
Помогите пожалуйста.
В терминах не силён и прошу как-нибудь доходчего.
С уважением Алексей.
По вашей инструкции собрал данные о системе.
Вроде всё сделал правильно. Не судите строго, но с компом я на Вы.
Вложения
Последний раз редактировалось Хромик; 30.05.2009 в 19:26 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин уберите!
Если уж присылать - то по красной ссылке вверху этой темы "Прислать запрошенный карантин"
Файл сохранён как 090530_190528_virus_4a214b389a41e.zip
Размер файла 990783
MD5 aa5079cb1eaf09bef82111483ef1de70
The worst foe lies within the self...
Junior Member
Вес репутации
55
Если я правильно понял, то "убрать карантин" это включить востановление системы на всех дисках?
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\5699not-5-virus68z.cpl','');
QuarantineFile('C:\WINDOWS\system32\542cspy5aze898.cpl','');
QuarantineFile('C:\WINDOWS\13455spazbot5c29.cpl','');
QuarantineFile('C:\WINDOWS\12a8thzeat35609.cpl','');
QuarantineFile('C:\WINDOWS\12745tro95z.cpl','');
QuarantineFile('C:\WINDOWS\12699not-a-vi5us1z6.cpl','');
QuarantineFile('C:\WINDOWS\11155zirus94f.cpl','');
QuarantineFile('C:\WINDOWS\system32\Audiodev.dll','');
QuarantineFile('blocker.dll','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\NVTcp.sys','');
QuarantineFile('C:\WINDOWS\system32\nvraidservice.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll');
DeleteFile('C:\WINDOWS\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll');
DeleteFile('C:\WINDOWS\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll');
DeleteFile('blocker.dll');
DeleteFile('C:\WINDOWS\system32\blocker.dll');
DeleteFile('C:\Documents and Settings\Лёшка\Local Settings\Temp\tmp47.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи
Добавлено через 36 секунд
Нет. Это удалить из первого сообщения файл "virus.zip"
Последний раз редактировалось Kuzz; 30.05.2009 в 19:20 .
Причина: Добавлено
The worst foe lies within the self...
Junior Member
Вес репутации
55
Скрипт выполнил. Перезагрузился. Файл из первого сообщения удалил. hijackthis.log отправил по ссылке.
Добавлено через 12 минут
virusinfo_syscure и virusinfo_syscheck сделал и выслал
Последний раз редактировалось Хромик; 30.05.2009 в 19:42 .
Причина: Добавлено
Логи (3 файла: virusinfo_syscure.zip virusinfo_syscheck.zip от AVZ и hijackthis.log от HijackThis) цепляете в своем сообщении, а карантин, полученный после этого:загружаете по ссылке вверху
The worst foe lies within the self...
Junior Member
Вес репутации
55
"цепляете в своём сообщении" это как?
новый карантин выслал
The worst foe lies within the self...
Junior Member
Вес репутации
55
Понял. Прицепил. Правильно?
Вложения
Последний раз редактировалось Хромик; 30.05.2009 в 20:00 .
Правильно.
А вот карантина вашего я не вижу
Его надо присылать так (только ссылка теперь красная)
The worst foe lies within the self...
Junior Member
Вес репутации
55
немного запутался
только-что отослал и прицепил к сообщению выше
извините, если что не так
Лог HijackThis тоже нужен!
Просто там должны быть очень подозрительные файлы.
Кстати у Вас виден работающий DrWeb и Вы упоминали ESET v4
Должен быть только один.
The worst foe lies within the self...
Junior Member
Вес репутации
55
NOD удалён на сей момент
а Web-ом я пользовался по вашей инструкции
И, если я не ошибаюсь, то он тоже не работает.
Добавлено через 4 минуты
Последний раз редактировалось Хромик; 30.05.2009 в 20:16 .
Причина: Добавлено
Приложение 3. Как прислать запрошенные файлы.
1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте те файлы, которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.
4. Загрузите полученный архив, используя ссылку на страницу загрузки (
Прислать запрошенный карантин ) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически)
Так
The worst foe lies within the self...
Junior Member
Вес репутации
55
Вроде правильно сделал. Отправил.
Получилось.
Теперь ждем ответ аналитиков.
Как только он придет, Вам будут выданы соответствующие рекомендации
The worst foe lies within the self...
Junior Member
Вес репутации
55
Спасибо огромное-приогромное. Буду ждать ответа аналитиков.
Добавлено через 5 часов 8 минут
Ну, не дождался сегодня рекомендаций. Пошел спать, да сил набирать.
Утром зайду, посмотрю.
Еще раз огромное спасибо.
И еще. Я так понимаю, пока антивирусник ставить не надо? Может и еще раз придётся пройдти все пункты проверки.
Только после того, как аналитики подтвердят удаление угрозы, можно будет вернуть NOD на место и вернуть востановление системы на всех дисках?
Последний раз редактировалось Хромик; 31.05.2009 в 01:32 .
Причина: Добавлено
Пофиксте в HijackThis следующие строки:
O17 - HKLM\System\CCS\Services\Tcpip\..\{24C156E7-AD83-4343-ABE8-CD1F34C93BD4}: NameServer = 85.255.112.178,85.255.112.99
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.178,85.255.112.99
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.178,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.178,85.255.112.99
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZPMStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteFile('C:\WINDOWS\11155zirus94f.cpl');
DeleteFile('C:\WINDOWS\12699not-a-vi5us1z6.cpl');
DeleteFile('C:\WINDOWS\12745tro95z.cpl');
DeleteFile('C:\WINDOWS\12a8thzeat35609.cpl');
DeleteFile('C:\WINDOWS\13455spazbot5c29.cpl');
DeleteFile('C:\WINDOWS\13c9virz155.cpl');
DeleteFile('C:\WINDOWS\15609parsz1954.cpl');
DeleteFile('C:\WINDOWS\1577threzt239899.cpl');
DeleteFile('C:\WINDOWS\16z90spy745.cpl');
DeleteFile('C:\WINDOWS\1755vir95z.cpl');
DeleteFile('C:\WINDOWS\18095vir9s5z9.cpl');
DeleteFile('C:\WINDOWS\1dac5zdware15889.cpl');
DeleteFile('C:\WINDOWS\1z49s5yware14649.cpl');
DeleteFile('C:\WINDOWS\1z4aspa5s9581.cpl');
DeleteFile('C:\WINDOWS\20f29ow5zoader3101.cpl');
DeleteFile('C:\WINDOWS\24771nzt-a5virus9a6.cpl');
DeleteFile('C:\WINDOWS\25z3vir9540.cpl');
DeleteFile('C:\WINDOWS\26vi59sz59.cpl');
DeleteFile('C:\WINDOWS\27939iruzc65.cpl');
DeleteFile('C:\WINDOWS\28755zot-a9vir5s38b.cpl');
DeleteFile('C:\WINDOWS\2b8es59rsz960.cpl');
DeleteFile('C:\WINDOWS\2c61downloaz5r592.cpl');
DeleteFile('C:\WINDOWS\2z92spa5bot7f1.cpl');
DeleteFile('C:\WINDOWS\30z54virus90.cpl');
DeleteFile('C:\WINDOWS\3197downl5ader925z.cpl');
DeleteFile('C:\WINDOWS\32994troj7z5.cpl');
DeleteFile('C:\WINDOWS\3969vzr9s56f.cpl');
DeleteFile('C:\WINDOWS\396zs5a9se2142.cpl');
DeleteFile('C:\WINDOWS\397fsparse2975z.cpl');
DeleteFile('C:\WINDOWS\398bspywzre2855.cpl');
DeleteFile('C:\WINDOWS\4359szarse1970.cpl');
DeleteFile('C:\WINDOWS\444a95ezl397.cpl');
DeleteFile('C:\WINDOWS\445dvirz189.cpl');
DeleteFile('C:\WINDOWS\445e5pa9se11z9.cpl');
DeleteFile('C:\WINDOWS\44ebad5warez973.cpl');
DeleteFile('C:\WINDOWS\4553zpy9are2649.cpl');
DeleteFile('C:\WINDOWS\4557spa9s5z592.cpl');
DeleteFile('C:\WINDOWS\4627tr5j9dz.cpl');
DeleteFile('C:\WINDOWS\4989addwzre11375.cpl');
DeleteFile('C:\WINDOWS\4zd4b59kdoor2468.cpl');
DeleteFile('C:\WINDOWS\5239back5oor172z.cpl');
DeleteFile('C:\WINDOWS\55z99pyware16385.cpl');
DeleteFile('C:\WINDOWS\5996addwar5z199.cpl');
DeleteFile('C:\WINDOWS\59e8backdozr5928.cpl');
DeleteFile('C:\WINDOWS\5abc95ief81z.cpl');
DeleteFile('C:\WINDOWS\5c19zhief9889.cpl');
DeleteFile('C:\WINDOWS\5e47z9ywa5e2156.cpl');
DeleteFile('C:\WINDOWS\60b9zhief1715.cpl');
DeleteFile('C:\WINDOWS\62z8s9arse5318.cpl');
DeleteFile('C:\WINDOWS\69zesteal22025.cpl');
DeleteFile('C:\WINDOWS\6d5abackd5or19z.cpl');
DeleteFile('C:\WINDOWS\7089zc5door396.cpl');
DeleteFile('C:\WINDOWS\7145s9ywarz2854.cpl');
DeleteFile('C:\WINDOWS\7717backdzor5390.cpl');
DeleteFile('C:\WINDOWS\7d96ste9z509.cpl');
DeleteFile('C:\WINDOWS\91314zpy15a5.cpl');
DeleteFile('C:\WINDOWS\92270not-a5virusz0.cpl');
DeleteFile('C:\WINDOWS\94509sz5740.cpl');
DeleteFile('C:\WINDOWS\9764s9z6a95.cpl');
DeleteFile('C:\WINDOWS\97e6addwaze16115.cpl');
DeleteFile('C:\WINDOWS\9959h9cktoolz4b.cpl');
DeleteFile('C:\WINDOWS\9b4vir5z80.cpl');
DeleteFile('C:\WINDOWS\9e7faddwzre550.cpl');
DeleteFile('C:\WINDOWS\bd35pyw9rez908.cpl');
DeleteFile('C:\WINDOWS\f03tzief14905.cpl');
DeleteFile('C:\WINDOWS\z23319i5us595.cpl');
DeleteFile('C:\WINDOWS\zba9add59re1538.cpl');
DeleteFile('C:\WINDOWS\system32\109z9tro9565.cpl');
DeleteFile('C:\WINDOWS\system32\12057v9zus4a0.cpl');
DeleteFile('C:\WINDOWS\system32\12539irz069.cpl');
DeleteFile('C:\WINDOWS\system32\136z9vir5s3e9.cpl');
DeleteFile('C:\WINDOWS\system32\13z83h9cktoo5768.cpl');
DeleteFile('C:\WINDOWS\system32\14696spy94z5.cpl');
DeleteFile('C:\WINDOWS\system32\1532znot-a9virus169.cpl');
DeleteFile('C:\WINDOWS\system32\1546sp5zse3296.cpl');
DeleteFile('C:\WINDOWS\system32\15568v9ru5z47.cpl');
DeleteFile('C:\WINDOWS\system32\15979sp5mzot98d.cpl');
DeleteFile('C:\WINDOWS\system32\16518sp95botz8e.cpl');
DeleteFile('C:\WINDOWS\system32\189429pamzo57cf.cpl');
DeleteFile('C:\WINDOWS\system32\19107tro5z22.cpl');
DeleteFile('C:\WINDOWS\system32\194dad5zar92172.cpl');
DeleteFile('C:\WINDOWS\system32\1cedzi52907.cpl');
DeleteFile('C:\WINDOWS\system32\1f965ackdzor2764.cpl');
DeleteFile('C:\WINDOWS\system32\1z912spa5b9t594.cpl');
DeleteFile('C:\WINDOWS\system32\1zbed5wnlo9der1905.cpl');
DeleteFile('C:\WINDOWS\system32\2089ztr95444.cpl');
DeleteFile('C:\WINDOWS\system32\221625zy4959.cpl');
DeleteFile('C:\WINDOWS\system32\22556v9rus6z5.cpl');
DeleteFile('C:\WINDOWS\system32\23158sp9m5otza.cpl');
DeleteFile('C:\WINDOWS\system32\23245spam9otz8.cpl');
DeleteFile('C:\WINDOWS\system32\246z19p5mbot82.cpl');
DeleteFile('C:\WINDOWS\system32\27308sp9mbz5254.cpl');
DeleteFile('C:\WINDOWS\system32\2596spar9e581z.cpl');
DeleteFile('C:\WINDOWS\system32\27z9not-a-5irus50a.cpl');
DeleteFile('C:\WINDOWS\system32\2919th5ez1859.cpl');
DeleteFile('C:\WINDOWS\system32\2931spyw5rz1376.cpl');
DeleteFile('C:\WINDOWS\system32\2989tz5ef224.cpl');
DeleteFile('C:\WINDOWS\system32\29926n9t-a-virzs2c5.cpl');
DeleteFile('C:\WINDOWS\system32\2c55doznlo9der1033.cpl');
DeleteFile('C:\WINDOWS\system32\3095859y131z.cpl');
DeleteFile('C:\WINDOWS\system32\31z485orm499.cpl');
DeleteFile('C:\WINDOWS\system32\3b5caddwa9ez826.cpl');
DeleteFile('C:\WINDOWS\system32\3ea75ownlo9dez758.cpl');
DeleteFile('C:\WINDOWS\system32\3z41thief3956.cpl');
DeleteFile('C:\WINDOWS\system32\443ev5r1979z.cpl');
DeleteFile('C:\WINDOWS\system32\4688s9ealz5035.cpl');
DeleteFile('C:\WINDOWS\system32\4b2b9ackdzor565.cpl');
DeleteFile('C:\WINDOWS\system32\542cspy5aze898.cpl');
DeleteFile('C:\WINDOWS\system32\5699not-5-virus68z.cpl');
DeleteFile('C:\WINDOWS\system32\5893thr5at69z5.cpl');
DeleteFile('C:\WINDOWS\system32\5952addwaze5895.cpl');
DeleteFile('C:\WINDOWS\system32\5bbfthre5t927z.cpl');
DeleteFile('C:\WINDOWS\system32\5c995ackdooz1175.cpl');
DeleteFile('C:\WINDOWS\system32\5f1eb5c9doorz8.cpl');
DeleteFile('C:\WINDOWS\system32\5f4ezackdoor1992.cpl');
DeleteFile('C:\WINDOWS\system32\6279zir535.cpl');
DeleteFile('C:\WINDOWS\system32\645aspywa9ez354.cpl');
DeleteFile('C:\WINDOWS\system32\68a59hizf1958.cpl');
DeleteFile('C:\WINDOWS\system32\6ddfz9ief25965.cpl');
DeleteFile('C:\WINDOWS\system32\6dfav9r50z1.cpl');
DeleteFile('C:\WINDOWS\system32\7112spyw59e2437z.cpl');
DeleteFile('C:\WINDOWS\system32\7516worz94d.cpl');
DeleteFile('C:\WINDOWS\system32\7567addwzre5909.cpl');
DeleteFile('C:\WINDOWS\system32\7593threzt19583.cpl');
DeleteFile('C:\WINDOWS\system32\7856szywar913875.cpl');
DeleteFile('C:\WINDOWS\system32\765fthzef29275.cpl');
DeleteFile('C:\WINDOWS\system32\7911spazbot9b5.cpl');
DeleteFile('C:\WINDOWS\system32\89589irus2f6z.cpl');
DeleteFile('C:\WINDOWS\system32\8285vir9s526z.cpl');
DeleteFile('C:\WINDOWS\system32\918evir55z5.cpl');
DeleteFile('C:\WINDOWS\system32\9523virz61.cpl');
DeleteFile('C:\WINDOWS\system32\96baddwar5z590.cpl');
DeleteFile('C:\WINDOWS\system32\9856tzie51221.cpl');
DeleteFile('C:\WINDOWS\system32\999virzs95.cpl');
DeleteFile('C:\WINDOWS\system32\99dzdownloader485.cpl');
DeleteFile('C:\WINDOWS\system32\f5cspyware269z.cpl');
DeleteFile('C:\WINDOWS\system32\z0c09ackdoor665.cpl');
DeleteFile('C:\WINDOWS\system32\z249not-5-9irus244.cpl');
DeleteFile('C:\WINDOWS\system32\z397vi9us546.cpl');
DeleteFile('C:\WINDOWS\system32\z4155wor9725.cpl');
DeleteFile('C:\WINDOWS\system32\z5791troj5f2.cpl');
DeleteFile('C:\WINDOWS\system32\z9077hackt5ol747.cpl');
DeleteFile('C:\WINDOWS\system32\z957threat1509.cpl');
DeleteFile('C:\WINDOWS\system32\z9a6down5oader1460.cpl');
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ .
Сделайте новые логи и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
Junior Member
Вес репутации
55
Спасибо за ответ.
Извине, что поздно. Знакомого в травму возил. День города хорошо отметил
Повредил ногу.
Скрипт выполнил. Компьютер перезагрузился.
Adobe Acrobat Reader удалил. Потом поищу новый или вообще ставить не буду.
Обновил базы AVZ. Скрипты выполнил и приложил к сообщению.
Карантин высылать?
Вложения
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys','');
QuarantineFile('\SystemRoot\system32\DRIVERS\nvcap.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys');
QuarantineFile('\systemroot\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll');
DeleteFile('\systemroot\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин , вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.