Junior Member
Вес репутации
54
Win32/Rootkit.Agent.ODG в оперативной памяти
Здравствуйте
После проверки NOD32 появляется сообщение:
"Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна".
Другие антивирусы вообще ничего не видят.
После этого компьютер стал загружать Windows XP только со 2 раза, с первого - зависал.
Также не запускается спящий и ждущий режим - выскакивает Blue Screen
И еще: Касперский не запускается, а hijackthis запустился только с измененным именем.
Жду помощи. Заранее спасибо
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\25zbsparse24889.cpl','');
QuarantineFile('C:\WINDOWS\25z94w5rma9.cpl','');
QuarantineFile('C:\WINDOWS\258809pazbot3e5.cpl','');
QuarantineFile('C:\WINDOWS\245espzware17649.cpl','');
QuarantineFile('C:\WINDOWS\system32\z9904troj54b5.cpl','');
QuarantineFile('C:\WINDOWS\system32\zd59t9reat18568.cpl','');
QuarantineFile('C:\WINDOWS\system32\c50backd9orz759.cpl','');
DeleteFileMask('C:\WINDOWS', '*.cpl', false);
DeleteFileMask('C:\WINDOWS\system32', '1*.cpl', false);
DeleteFileMask('C:\WINDOWS\system32', '2*.cpl', false);
DeleteFileMask('C:\WINDOWS\system32', '3*.cpl', false);
DeleteFileMask('C:\WINDOWS\system32', '4*.cpl', false);
DeleteFileMask('C:\WINDOWS\system32', '5*.cpl', false);
DeleteFileMask('C:\WINDOWS\system32', '6*.cpl', false);
DeleteFile('C:\WINDOWS\system32\7478virz579c.cpl');
DeleteFile('C:\WINDOWS\system32\7822backzo5r9492.cpl');
DeleteFile('C:\WINDOWS\system32\834z5irus7ca9.cpl');
DeleteFileMask('C:\WINDOWS\system32', '9*.cpl', false);
DeleteFile('C:\WINDOWS\system32\c50backd9orz759.cpl');
DeleteFile('C:\WINDOWS\system32\c6b9dd5are2z7.cpl');
DeleteFile('C:\WINDOWS\system32\d5f5zarse9779.cpl');
DeleteFile('C:\WINDOWS\system32\ez7threat113695.cpl');
DeleteFile('C:\WINDOWS\system32\fbbbazk9o5r2500.cpl');
DeleteFile('C:\WINDOWS\system32\fe5ad5wa9e393z.cpl');
DeleteFile('C:\WINDOWS\system32\z0820s5ambot9e.cpl');
DeleteFile('C:\WINDOWS\system32\z424d9wnl5ader1538.cpl');
DeleteFile('C:\WINDOWS\system32\z55ethief9019.cpl');
DeleteFile('C:\WINDOWS\system32\z596spy79e.cpl');
DeleteFile('C:\WINDOWS\system32\z6371vir59636.cpl');
DeleteFile('C:\WINDOWS\system32\z919not-a-vir5s3b5.cpl');
DeleteFile('C:\WINDOWS\system32\z9904troj54b5.cpl');
DeleteFile('C:\WINDOWS\system32\zd59t9reat18568.cpl');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин , вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Проверьте настройки DNS.
Junior Member
Вес репутации
54
Захожу с другого компьютера.
Интернет после AVZ отрубился. Сети нет. Исчезли все подключения. После перезагрузки со скриптом система обнаруживает неизвестное устройство.
Роутер не настроить.
Как исправить?
Сделайте лог, там видно будет.
Junior Member
Вес репутации
54
У меня не получается отправить лог, так как нет сети... Заколдованный круг...
Сетевая плата самопроизвольно отключается и не видит локальную сеть...
Флешка/ дискета есть? Перенесите на ней лог и отправьте с компьютера, с которого пишите.
Junior Member
Вес репутации
54
Пишу с КПК. Сеть нужна срочно, а отправить лог не могу никакими способами.
При загрузке компьютера нажмите клавишу F8 и выберите в меню:
- Загрузка последней удачной конфигурации.
Junior Member
Вес репутации
54
Увы, не помогает. Локальная сеть выглядит подключенной, но не работает. Настройки IP и DNS автоматические. Исправление подключения не помогает. Сети нет.
Смотрите в Событиях системы сообщения об ошибках.
Пропишите в настройках протокола TCP/IP сервер DNS вручную:
213.234.192.1
Почитайте информацию о аналогином вашему случае (подмена DNS): http://help.corbina.ru/internet/faq/
Junior Member
Вес репутации
54
Сеть запустилась только после переустановки драйвера Сетевой платы. Через роутер вообще не запускается.
Выслал карантин, прикрепил лог...
Вложения
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('\systemroot\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys','');
DeleteFile('\systemroot\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys');
DeleteFile('C:\WINDOWS\245espzware17649.cpl');
DeleteFile('C:\WINDOWS\258809pazbot3e5.cpl');
DeleteFile('C:\WINDOWS\25z94w5rma9.cpl');
DeleteFile('C:\WINDOWS\25zbsparse24889.cpl');
DeleteFile('C:\WINDOWS\system32\c50backd9orz759.cpl');
DeleteFile('C:\WINDOWS\system32\z9904troj54b5.cpl');
DeleteFile('C:\WINDOWS\system32\zd59t9reat18568.cpl');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин , вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Junior Member
Вес репутации
54
В новой папке карантина пусто. Логи прикрепляю
Вложения
Последний раз редактировалось George86; 31.07.2009 в 15:48 .
Junior Member
Вес репутации
54
После выполнения последнего скрипта ожил Касперский и остальные антивирусы...Большое спасибо! уже нашел несколько червей. Но через каждые 3 минуты ругается на какой-то файл "PVH99.EXE проявляет себя как скрытый объект. Данное поведение может быть следствием действий вредоносной программы - руткита" Что с ним делать? В поиске его не находит.. После перезагрузки пропал...
Все, теперь windows не зависает, спящий и ждущий режимы работают. Касперский лечит...
Огромное СПАСИБО!
Последний раз редактировалось George86; 31.07.2009 в 20:18 .
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('c:\windows\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys','');
QuarantineFile('c:\windows\system32\ESQULaspkcsxqvusjqsxnkjblydweyfmjfnwk.dll','');
QuarantineFile('c:\windows\system32\ESQULuuubudmfukuggjtwtrxeikrwwwglhmxt.dll','');
QuarantineFile('C:\WINDOWS\system32\sslxrq.dll','');
QuarantineFile('C:\WINDOWS\system32\ozqjxx.dll','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service ESQULserv.sys
gmer.exe -del service lfnudawco
gmer.exe -del service oemztioa
gmer.exe -del service yncsaqhyg
gmer.exe -del file "c:\windows\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys"
gmer.exe -del file "c:\windows\system32\ESQULaspkcsxqvusjqsxnkjblydweyfmjfnwk.dll"
gmer.exe -del file "c:\windows\system32\ESQULuuubudmfukuggjtwtrxeikrwwwglhmxt.dll"
gmer.exe -del file "C:\WINDOWS\system32\sslxrq.dll"
gmer.exe -del file "C:\WINDOWS\system32\ozqjxx.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\lfnudawco"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\lfnudawco"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\lfnudawco"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lfnudawco"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yncsaqhyg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\lfnudawco"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\oemztioa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\yncsaqhyg"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Карантин пустой. Вот лог Gmer
Вложения
Junior Member
Вес репутации
54
После каждой перезагрузки почему-то запускается CheckDisk..
Вот логи...
Вложения
После каждой перезагрузки почему-то запускается CheckDisk.
Посмотрите тут: http://mechanicuss.livejournal.com/214243.html Гарантии дать не могу
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\nxkafakj.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\nxkafakj.sys');
DeleteFileMask('C:\DOCUME~1\Admin\LOCALS~1\Temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте новые логи по пунктам 2 и 3 Диагностики и приложите к этой теме.