win32/Rootkit.Agent.ODG. :(

[Rebelis]

Здраствуйте.

у меня проблема. NOD32 постоянно находит win32/Rootkit.Agent.ODG.trojan

в Оперативной памяти и не может удалить его.

Пожалуйста помогите.

[Bratez]

Обновите базы AVZ.
Установите драйвер расширенного мониторинга (AVZPM).
Перезагрузите компьютер.
Сделайте новые логи AVZ + дополнительно лог gmer.

[Rebelis]

Обновил базы и сделал все необходимое.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\hjgruihftfyprt.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\asliahmy.sys','');
 DeleteFile('C:\WINDOWS\TEMP\asliahmy.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\hjgruihftfyprt.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=48980).
Сделайте новые логи AVZ.

[thyrex]

+ к предыдущему совету

И лог gmer сделайте

[Rebelis]

Вот. Сделал все необходимые логи. Правда Gmer решил просканироваьт всю систему, по-этому так долго.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hjgruihftfyprt.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\hjgruihftfyprt.sys');
QuarantineFile('C:\WINDOWS\system32\hjgruiqpvepbak.dll','');
 DeleteFile('C:\WINDOWS\system32\hjgruiqpvepbak.dll');
QuarantineFile('C:\WINDOWS\system32\hjgruiavimameb.dat','');
 DeleteFile('C:\WINDOWS\system32\hjgruiavimameb.dat');
QuarantineFile('C:\WINDOWS\system32\hjgruieouoxdue.dll','');
 DeleteFile('C:\WINDOWS\system32\hjgruieouoxdue.dll');
QuarantineFile('C:\WINDOWS\system32\hjgruionvmndnw.dat','');
 DeleteFile('C:\WINDOWS\system32\hjgruionvmndnw.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service hjgruitqgoanhc
gmer.exe -del file "C:\WINDOWS\system32\drivers\hjgruihftfyprt.sys"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiqpvepbak.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiavimameb.dat"
gmer.exe -del file "C:\WINDOWS\system32\hjgruieouoxdue.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruionvmndnw.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruitqgoanhc"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hjgruitqgoanhc"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[Rebelis]

Вот

[thyrex]

В этом логе чисто.

Карантин после выполнения скрипта для AVZ из сообщения №7 пришлите согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Что с проблемой?

[Rebelis]

NOD32 больше ничего не видит.
Наверное проблема решена
Карантин щас пришлю,только не знаю как запоролить Архив Подскажите пожайлуста.

В архив надо добавить всю папку Quarantine?

[PavelA]

Архив AVZ сам создаст с паролем. Как делать, смотри Приложение 3 Правил.

[Rebelis]

Вот.

"
Результат загрузкиФайл сохранён как 090630_182306_virus_4a4a1fcacdabf.zip
Размер файла 159833
MD5 72383bd91c95123eb34460b2e482cb34

Файл закачан, спасибо!
"

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\hjgruihftfyprt.sys - Trojan.Win32.Tdss.aiol ( DrWEB: BackDoor.Tdss.266, BitDefender: Trojan.CryptRedol.Gen.3 )
  2. c:\windows\system32\hjgruieouoxdue.dll - Trojan.Win32.Monder.cqbi ( DrWEB: BackDoor.Tdss.265 )
  3. c:\windows\system32\hjgruiqpvepbak.dll - Trojan.Win32.Monder.cqbh ( DrWEB: BackDoor.Tdss.264 )