win32/Rootkit.Agent.ODG. Если возможно, поскорее.

[fingerzero]

Компьютер периодически произвольно перезагружается при соединении с интернетом, проверке всей системы антивирусом NOD32 v4, подключении флешки. При проверке нодом сообщает "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна".
Если возможно, помогите скорее - невозможно работать.
Прилагаю логи в соответствии с правилами.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SLAB8LIJ\ivana[1].exe','');
 QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\272.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe');
 DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\272.exe');
 DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SLAB8LIJ\ivana[1].exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys');
DeleteFileMask('C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Administrator\Local Settings\Temp\', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[fingerzero]

Карантин отослал. Вот новые логи.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\S-1-5-21-1123561945-73586283-1801674531-500\Dc39.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe');
ExecuteSysClean;
ExecuteRepair(9);
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделать новыe логи AVZ

[fingerzero]

Вирус ещё висит в оперативке. Вот логи AVZ.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделать такой лог http://virusinfo.info/showthread.php?t=40118

[fingerzero]

Вирус удалён.Карантин отослал. А эту проверку обязательно проводить(вопросительный знак) Уж больно долго будет))) Меня уж из офиса выгоняют.

[thyrex]

Можете из всех дисков отметить только системный.
Можете эту проверку оставить до завтра

[fingerzero]

Вот логи Gmer

[PavelA]

Вот что было удалено:

Здравствуйте,

avz00001.dta - Trojan.Win32.Buzus.bkbc

Этот файл определяется антивирусом. Обновите антивирусные базы.

avz00001.ini,
avz00002.ini,
bcqr00001.ini,
bcqr00002.ini

Вредоносный код в файлах не обнаружен.

avz00002.dta - Rootkit.Win32.Agent.lyt

Детектирование файла будет добавлено в следующее обновление

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SKYNETmawqgdmv.dll','');
 DeleteFile('C:\WINDOWS\system32\SKYNETmawqgdmv.dll');
QuarantineFile('C:\WINDOWS\system32\SKYNETlssttdms.dll','');
 DeleteFile('C:\WINDOWS\system32\SKYNETlssttdms.dll');
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service SKYNETulkjbefn
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETmawqgdmv.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETwpynmmwv.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETlssttdms.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETxumnsbyi.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETulkjbefn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETulkjbefn"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\administrator\local settings\temporary internet files\content.ie5\slab8lij\ivana[1].exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK )
  2. c:\documents and settings\administrator\local settings\temp\272.exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK )
  3. c:\recycler\s-1-5-21-1123561945-73586283-1801674531-500\dc39.exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK )
  4. c:\recycler\s-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK )
  5. c:\windows\system32\drivers\skynetsoayxyfk.sys - Rootkit.Win32.Agent.lyt ( BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )