Junior Member
Вес репутации
55
win32/Rootkit.Agent.ODG. Если возможно, поскорее.
Компьютер периодически произвольно перезагружается при соединении с интернетом, проверке всей системы антивирусом NOD32 v4, подключении флешки. При проверке нодом сообщает "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна".
Если возможно, помогите скорее - невозможно работать.
Прилагаю логи в соответствии с правилами.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SLAB8LIJ\ivana[1].exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\272.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\272.exe');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SLAB8LIJ\ivana[1].exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys');
DeleteFileMask('C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Administrator\Local Settings\Temp\', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Карантин отослал. Вот новые логи.
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-1123561945-73586283-1801674531-500\Dc39.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe');
ExecuteSysClean;
ExecuteRepair(9);
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделать новыe логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Вирус ещё висит в оперативке. Вот логи AVZ.
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделать такой лог http://virusinfo.info/showthread.php?t=40118
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Вирус удалён.Карантин отослал. А эту проверку обязательно проводить(вопросительный знак) Уж больно долго будет))) Меня уж из офиса выгоняют.
Последний раз редактировалось fingerzero; 29.06.2009 в 21:49 .
Можете из всех дисков отметить только системный.
Можете эту проверку оставить до завтра
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Вложения
Вот что было удалено:
Здравствуйте,
avz00001.dta - Trojan.Win32.Buzus.bkbc
Этот файл определяется антивирусом. Обновите антивирусные базы.
avz00001.ini,
avz00002.ini,
bcqr00001.ini,
bcqr00002.ini
Вредоносный код в файлах не обнаружен.
avz00002.dta - Rootkit.Win32.Agent.lyt
Детектирование файла будет добавлено в следующее обновление
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SKYNETmawqgdmv.dll','');
DeleteFile('C:\WINDOWS\system32\SKYNETmawqgdmv.dll');
QuarantineFile('C:\WINDOWS\system32\SKYNETlssttdms.dll','');
DeleteFile('C:\WINDOWS\system32\SKYNETlssttdms.dll');
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service SKYNETulkjbefn
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETsoayxyfk.sys"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETmawqgdmv.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETwpynmmwv.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETlssttdms.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETxumnsbyi.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETulkjbefn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETulkjbefn"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 17 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\administrator\local settings\temporary internet files\content.ie5\slab8lij\ivana[1].exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK ) c:\documents and settings\administrator\local settings\temp\272.exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK ) c:\recycler\s-1-5-21-1123561945-73586283-1801674531-500\dc39.exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK ) c:\recycler\s-1-5-21-4173691019-7801716360-437347283-3416\nissan.exe - Trojan.Win32.Buzus.bkbc ( DrWEB: Win32.HLLW.Lime.7, BitDefender: Trojan.Generic.CJ.CWK ) c:\windows\system32\drivers\skynetsoayxyfk.sys - Rootkit.Win32.Agent.lyt ( BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )