Установил Nod32 версия 4.0.417.0, находит в памяти вирус Win32/Agent.ODG
CureIT! в безопасном режиме не помогает, находит и удаляет файл
C:\WINDOWS\SYSTEM32\*.DLL , после перезагрузки снова тот же вирус. Помогите, пожалуйста!
Установил Nod32 версия 4.0.417.0, находит в памяти вирус Win32/Agent.ODG
CureIT! в безопасном режиме не помогает, находит и удаляет файл
C:\WINDOWS\SYSTEM32\*.DLL , после перезагрузки снова тот же вирус. Помогите, пожалуйста!
Последний раз редактировалось Bratez; 11.06.2009 в 14:14.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file) O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing) O2 - BHO: wtplibP - {71B9B3D7-659F-4457-BECF-AD6B86483797} - C:\WINDOWS\system32\wtplib.dll (file missing) O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - D:\Вконтакте\WebMoney Advisor\wmadvisor.dll (file missing) O2 - BHO: tislibP - {F336F90A-DAD6-48FD-AD3D-AC53DA185161} - C:\WINDOWS\system32\tislib.dll (file missing) O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Вконтакте\WebMoney Advisor\wmadvisor.dll (file missing) O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Вконтакте\WebMoney Advisor\wmadvisor.dll (file missing) O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Вконтакте\WebMoney Advisor\wmadvisor.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxlwccugxa.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxlwccugxa.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=47695).
Сделайте новые логи.
I am not young enough to know everything...
Сделайте лог Gmer www.gmer.net/gmer.zip как и что читать в "Чаво".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Послал карантин AVZ
Новые логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Лог Gmer сделаю позже, вечером, или завтра утром, т.к. вынужден отъехать
Теперь Nod32 в оперативной памяти ничего не находит.
После автоматической экспресс-проверки GMER появилось сообщение:
"GMER has found system modification, which might have been caused by ROOTKIT activity
Dou you want to fully scan your system?".
Я нажал OK, и результаты этого сканирования (только диск C) посылаю в лог файле:
gmer.log
Что касается проверки всех дисков, то это займет слишком много времени, и до понедельника, вторника, я просто физически не смогу этого сделать, т.к. сейчас сильно занят, но если это необходимо, Вы скажите и я сделаю.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service gaopdxserv.sys gmer.exe -del file "C:\WINDOWS\system32\drivers\gaopdxlwccugxa.sys" gmer.exe -del file "C:\WINDOWS\system32\gaopdxmkwnrqrh.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys" gmer -reboot
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил cleanup.bat. После перезагрузки GMER отработал нормально(после автоматической экспресс-проверки сообщений не было), посылаю лог сканирования диска C:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}'); DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}'); DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll'); ExecuteSysClean; RebootWindows(true); end.
Больше ничего плохого не нахожу.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Большое, человеческое, спасибо всем помогавшим!
Логи повторите для контроля, все.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Посылаю логи, и еще раз Спасибо!
Чисто.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\gaopdxlwccugxa.sys - Trojan.Win32.TDSS.tgn ( BitDefender: Gen:Rootkit.Heur.4018E7F7F7 )
Уважаемый(ая) Mihail, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.