Win32/Rootkit.Agent.ODG и Win32/Kryptik.SQ
Антивирус Eset Smart Security 4.0.314.0
обнаруживает в оперативной памяти Win32/Rootkit.Agent.ODG,удаление которого не возможно,а также \\?\globalroot\systemroot\system32\MSIVXlxirrdnvgw yylarjbuwkdmhmttnpvjxu.dll модифицированный Win32/Kryptik.SQ,который он удаляет,но при следующем запуске Windows он появляется вновь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Доступ к платному контенту Aldea v1.6.0 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - (no file) O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O17 - HKLM\System\CCS\Services\Tcpip\..\{E1845C8E-903D-47AF-896F-34C43B9070FE}: NameServer = 85.255.112.154,85.255.112.227 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.154,85.255.112.227 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.154,85.255.112.227 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.154,85.255.112.227
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\tempo-19101296.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\MSIVXydoxsddrxmnaoptoosddqwnoddtvenha.sys',''); QuarantineFile('C:\WINDOWS\system32\MSIVXlxirrdnvgwyylarjbuwkdmhmttnpvjxu.dll',''); DeleteFile('C:\WINDOWS\system32\MSIVXlxirrdnvgwyylarjbuwkdmhmttnpvjxu.dll'); DeleteFile('C:\WINDOWS\system32\drivers\MSIVXydoxsddrxmnaoptoosddqwnoddtvenha.sys'); DeleteFile('C:\WINDOWS\TEMP\tempo-19101296.tmp'); DeleteFile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=47673).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Еще лог Gmer сделайте. Как и что, смотреть в "Чаво".
www.gmer.net\gmer.zip
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал...
Логи новые также сделал...
Файл карантина выслал...
Карантин был получен?
Последний раз редактировалось ToshaChe; 11.06.2009 в 20:48.
Вот это в Гмере удалить:
system32\drivers\MSIVXydoxsddrxmnaoptoosddqwnoddtv enha.sys
Его лог повторить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А можно поступить так
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service MSIVXserv.sys gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXydoxsddrxmnaoptoosddqwnoddtvenha.sys" gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxirrdnvgwyylarjbuwkdmhmttnpvjxu.dll" gmer.exe -del file "system32\MSIVXcnqoxlvjnwkdjmewjjgkptcpvkftitwt.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" gmer -reboot
И, как просил PavelA, сделать еще раз лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал,как просил PavelA...
Гмер выругнулся на то,что система не может найти путь,но эта строчка исчезла,при повторном сканировании на наличие подозрительного объекта не ругался...
Лог прикладываю...
1. Зачистим следы до конца
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" gmer -reboot
2. Сделать лог virusinfo_syscheck.zip (п. 2 диагностики)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал...
ooVoo Toolbar - удалите
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{A057A204-BACC-4D26-8087-36EE87E26986}'); DeleteFile('C:\PROGRA~1\OOVOOT~1\OOVOOT~1.DLL'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сделал...
Файлы логов прикрепил...
Файл карантина выслал...
Ну так как там мои дела?
Последний раз редактировалось Rene-gad; 13.06.2009 в 01:00.
Файлпоищите и пришлите по правиламM1000Rmv.exe
AVZ пишет
"Ошибка карантина файла, попытка прямого чтения (M1000Rmv.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\M1000Rmv.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\M1000Rmv.exe)
Карантин с использованием прямого чтения - ошибка"
и в карантине пусто...
Файл/Сервис/Поиск файлов... Найти по маске, находки замаркировать и добавить в карантин.M1000Rmv
По маске находит этот файл в 3х местах
Маркирую их,но при нажатии на кнопку "Копировать отмеченные файлы в карантин" ничего не происходит,в карантине пусто и папка за сегодняшнее число не создается,в папках за другие числа этих файлов нет,только те,которые требовали выше...C:\Program Files\InstallShield Installation Information\{0BD0374C-CC12-4812-BBC5-69481A385E52}\M1000Rmv.exe
C:\WINDOWS\M10Setup\M1000Rmv.exe
C:\WINDOWS\system\M1000Rmv.exe
Может быть есть другой способ прислать запрошенный файл?
Последний раз редактировалось Rene-gad; 14.06.2009 в 19:27.
Скачайте special avz и попробуйте добавить файлы в карантин им. Его карантин будет создан в подкаталоге папки, откуда Вы его запустите.
Всё равно эти файлы не помещается в карантин!
Запакуйте файлы в оригинальном виде в архив с именем virus.zip и установите защиту паролем virus.
Закачайте этот архив по правилам.
Отправил...
Файл получили?
Файл в карантине чистый.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) ToshaChe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
