win32/Rootkit.Agent.ODG немогу избавиться!

[yegorka80]

помогите!

Добавлено через 2 минуты

Nod не может удалить эту заразу - win32/Rootkit.Agent.ODG
Находится в оперативной памяти.

[gjf]

Чтобы мы могли Вам помочь, выполните Правила.

[yegorka80]

вот логи

[gjf]

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 StopService('MEMSWEEP2');
 StopService('mpr_freader');
 DelBHO('{D5AD327A-A089-4F04-89FD-4EA9812B3913}');
 DelBHO('{6AA40521-14E7-4B1D-B1B4-98528C1388C9}');
 DelBHO('{9DFE2FE9-CF99-4ADF-A28E-9B5ADB8DC74F}');
 QuarantineFile('C:\DEPOSI~1\DEPOSI~1\DEPOSI~1.DLL','');
 QuarantineFile('H:\Multi Password Recovery\mpr_freader.sys','');
 QuarantineFile('C:\WINDOWS\system32\29F.tmp','');
 QuarantineFile('\systemroot\system32\drivers\SKYNETbappqlvt.sys','');
 DeleteFile('\systemroot\system32\drivers\SKYNETbappqlvt.sys');
 DeleteFile('C:\WINDOWS\system32\29F.tmp');
 DeleteFile('H:\Multi Password Recovery\mpr_freader.sys');
 DeleteFile('C:\DEPOSI~1\DEPOSI~1\DEPOSI~1.DLL');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('MEMSWEEP2');
 BC_DeleteSvc('mpr_freader');
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Сделайте лог с помощью GMER.
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[yegorka80]

новые логи

[gjf]

Где лог GMER'a?

[yegorka80]

еще не создался. пара минут еще.

[gjf]

Давайте быстрее, а то засну

[yegorka80]

вот

[gjf]

- Пофиксите в HiJackThis:

Код:

O9 - Extra button: Скачать все с помощью DF Manager - {D5AD327A-A089-4F04-89FD-4EA9812B3913} - C:\DEPOSI~1\DEPOSI~1\DEPOSI~1.DLL (file missing)

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat". Не забудьте сохраниться именно в ту папку, где находится gmer.exe!).

Код:

gmer.exe -killall 
gmer.exe -del service SKYNETylkxdyij 
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETbappqlvt.sys"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETomqpxuwq.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETyoulrvmk.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETvdieuutf.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETbltmoyqj.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETwsp.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETylkxdyij"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETylkxdyij"
gmer.exe -reboot

И запустите cleanup.bat
Система перезагрузится.
Сделайте новый лог gmer.

[yegorka80]

вот новый

[yegorka80]

теперь вроде nod32 не ругается!

[gjf]

Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 36
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\skynetbappqlvt.sys - Trojan.Win32.Tdss.aiig ( DrWEB: BackDoor.Tdss.262, BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )