Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Win32/Rootkit.Agent.ODG в оперативной памяти (заявка № 51058)

  1. #1
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54

    Thumbs up Win32/Rootkit.Agent.ODG в оперативной памяти

    Здравствуйте

    После проверки NOD32 появляется сообщение:
    "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна".
    Другие антивирусы вообще ничего не видят.
    После этого компьютер стал загружать Windows XP только со 2 раза, с первого - зависал.
    Также не запускается спящий и ждущий режим - выскакивает Blue Screen
    И еще: Касперский не запускается, а hijackthis запустился только с измененным именем.

    Жду помощи. Заранее спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     SetAVZPMStatus(True);
     QuarantineFile('C:\WINDOWS\25zbsparse24889.cpl','');
     QuarantineFile('C:\WINDOWS\25z94w5rma9.cpl','');
     QuarantineFile('C:\WINDOWS\258809pazbot3e5.cpl','');
     QuarantineFile('C:\WINDOWS\245espzware17649.cpl','');
     QuarantineFile('C:\WINDOWS\system32\z9904troj54b5.cpl','');
     QuarantineFile('C:\WINDOWS\system32\zd59t9reat18568.cpl','');
     QuarantineFile('C:\WINDOWS\system32\c50backd9orz759.cpl','');
     DeleteFileMask('C:\WINDOWS', '*.cpl', false);
     DeleteFileMask('C:\WINDOWS\system32', '1*.cpl', false);
     DeleteFileMask('C:\WINDOWS\system32', '2*.cpl', false);
     DeleteFileMask('C:\WINDOWS\system32', '3*.cpl', false);
     DeleteFileMask('C:\WINDOWS\system32', '4*.cpl', false);
     DeleteFileMask('C:\WINDOWS\system32', '5*.cpl', false);
     DeleteFileMask('C:\WINDOWS\system32', '6*.cpl', false);
     DeleteFile('C:\WINDOWS\system32\7478virz579c.cpl');
     DeleteFile('C:\WINDOWS\system32\7822backzo5r9492.cpl');
     DeleteFile('C:\WINDOWS\system32\834z5irus7ca9.cpl');
     DeleteFileMask('C:\WINDOWS\system32', '9*.cpl', false);
     DeleteFile('C:\WINDOWS\system32\c50backd9orz759.cpl');
     DeleteFile('C:\WINDOWS\system32\c6b9dd5are2z7.cpl');
     DeleteFile('C:\WINDOWS\system32\d5f5zarse9779.cpl');
     DeleteFile('C:\WINDOWS\system32\ez7threat113695.cpl');
     DeleteFile('C:\WINDOWS\system32\fbbbazk9o5r2500.cpl');
     DeleteFile('C:\WINDOWS\system32\fe5ad5wa9e393z.cpl');
     DeleteFile('C:\WINDOWS\system32\z0820s5ambot9e.cpl');
     DeleteFile('C:\WINDOWS\system32\z424d9wnl5ader1538.cpl');
     DeleteFile('C:\WINDOWS\system32\z55ethief9019.cpl');
     DeleteFile('C:\WINDOWS\system32\z596spy79e.cpl');
     DeleteFile('C:\WINDOWS\system32\z6371vir59636.cpl');
     DeleteFile('C:\WINDOWS\system32\z919not-a-vir5s3b5.cpl');
     DeleteFile('C:\WINDOWS\system32\z9904troj54b5.cpl');
     DeleteFile('C:\WINDOWS\system32\zd59t9reat18568.cpl');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
    Проверьте настройки DNS.

  4. #3
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    Захожу с другого компьютера.
    Интернет после AVZ отрубился. Сети нет. Исчезли все подключения. После перезагрузки со скриптом система обнаруживает неизвестное устройство.
    Роутер не настроить.
    Как исправить?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Сделайте лог, там видно будет.

  6. #5
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    У меня не получается отправить лог, так как нет сети... Заколдованный круг...
    Сетевая плата самопроизвольно отключается и не видит локальную сеть...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Флешка/ дискета есть? Перенесите на ней лог и отправьте с компьютера, с которого пишите.

  8. #7
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    Пишу с КПК. Сеть нужна срочно, а отправить лог не могу никакими способами.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    При загрузке компьютера нажмите клавишу F8 и выберите в меню:
    - Загрузка последней удачной конфигурации.

  10. #9
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    Увы, не помогает. Локальная сеть выглядит подключенной, но не работает. Настройки IP и DNS автоматические. Исправление подключения не помогает. Сети нет.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Смотрите в Событиях системы сообщения об ошибках.
    Пропишите в настройках протокола TCP/IP сервер DNS вручную:
    213.234.192.1

    Почитайте информацию о аналогином вашему случае (подмена DNS): http://help.corbina.ru/internet/faq/

  12. #11
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    Сеть запустилась только после переустановки драйвера Сетевой платы. Через роутер вообще не запускается.
    Выслал карантин, прикрепил лог...
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('\systemroot\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys','');
     DeleteFile('\systemroot\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys');
     DeleteFile('C:\WINDOWS\245espzware17649.cpl');
     DeleteFile('C:\WINDOWS\258809pazbot3e5.cpl');
     DeleteFile('C:\WINDOWS\25z94w5rma9.cpl');
     DeleteFile('C:\WINDOWS\25zbsparse24889.cpl');
     DeleteFile('C:\WINDOWS\system32\c50backd9orz759.cpl');
     DeleteFile('C:\WINDOWS\system32\z9904troj54b5.cpl');
     DeleteFile('C:\WINDOWS\system32\zd59t9reat18568.cpl');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Такой лог ещё сделайте http://virusinfo.info/showthread.php?t=40118

  15. #14
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    В новой папке карантина пусто. Логи прикрепляю
    Вложения Вложения
    Последний раз редактировалось George86; 31.07.2009 в 15:48.

  16. #15
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    После выполнения последнего скрипта ожил Касперский и остальные антивирусы...Большое спасибо! уже нашел несколько червей. Но через каждые 3 минуты ругается на какой-то файл "PVH99.EXE проявляет себя как скрытый объект. Данное поведение может быть следствием действий вредоносной программы - руткита" Что с ним делать? В поиске его не находит.. После перезагрузки пропал...
    Все, теперь windows не зависает, спящий и ждущий режимы работают. Касперский лечит...
    Огромное СПАСИБО!
    Последний раз редактировалось George86; 31.07.2009 в 20:18.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('c:\windows\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys','');
     QuarantineFile('c:\windows\system32\ESQULaspkcsxqvusjqsxnkjblydweyfmjfnwk.dll','');
     QuarantineFile('c:\windows\system32\ESQULuuubudmfukuggjtwtrxeikrwwwglhmxt.dll','');
     QuarantineFile('C:\WINDOWS\system32\sslxrq.dll','');
     QuarantineFile('C:\WINDOWS\system32\ozqjxx.dll','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service ESQULserv.sys
    gmer.exe -del service lfnudawco
    gmer.exe -del service oemztioa
    gmer.exe -del service yncsaqhyg
    gmer.exe -del file "c:\windows\system32\drivers\ESQULmwvrwpemqvctfnisakieaxjrtdpcufkp.sys"
    gmer.exe -del file "c:\windows\system32\ESQULaspkcsxqvusjqsxnkjblydweyfmjfnwk.dll"
    gmer.exe -del file "c:\windows\system32\ESQULuuubudmfukuggjtwtrxeikrwwwglhmxt.dll"
    gmer.exe -del file "C:\WINDOWS\system32\sslxrq.dll"
    gmer.exe -del file "C:\WINDOWS\system32\ozqjxx.dll"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\lfnudawco"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\lfnudawco"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\lfnudawco"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lfnudawco"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yncsaqhyg"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\ESQULserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\lfnudawco"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\oemztioa"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\yncsaqhyg"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    Карантин пустой. Вот лог Gmer
    Вложения Вложения
    • Тип файла: log Gmer.log (72.1 Кб, 4 просмотров)

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи авз повторите ...

  20. #19
    Junior Member Репутация
    Регистрация
    30.07.2009
    Сообщений
    14
    Вес репутации
    54
    После каждой перезагрузки почему-то запускается CheckDisk..
    Вот логи...
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    После каждой перезагрузки почему-то запускается CheckDisk.
    Посмотрите тут: http://mechanicuss.livejournal.com/214243.html Гарантии дать не могу

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\nxkafakj.sys','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\nxkafakj.sys');
     DeleteFileMask('C:\DOCUME~1\Admin\LOCALS~1\Temp','*.*',true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи по пунктам 2 и 3 Диагностики и приложите к этой теме.

  • Уважаемый(ая) George86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. В оперативной памяти Win32/Rootkit.Agent.ODG.
      От iliv в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.08.2009, 14:58
    2. Ответов: 2
      Последнее сообщение: 29.07.2009, 17:20
    3. Rootkit.Agent.ODG в оперативной памяти
      От powerland в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 21.07.2009, 10:50
    4. Rootkit.Agent.ODG в оперативной памяти
      От Влад в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.07.2009, 21:58
    5. Вирус Win32/Rootkit.Agent.ODG trojan в оперативной памяти.
      От Shakil_AND1 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 06.07.2009, 20:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01145 seconds with 20 queries