Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Win32/Rootkit.Agent.ODG. (заявка № 51103)

  1. #1
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54

    Thumbs up Win32/Rootkit.Agent.ODG.

    Примерно трое суток назад сосед на свой нотбук поймал вирус
    Win32/Rootkit.Agent.ODG.
    Был обнаружен NOD32 antivirus 4, сидит в оперативке, очистка невозможна.
    Диск D стал недоступен, при попытке его открыть система пишет "Диск D в устройстве не отформатирован"
    При попытке переустановить Винду пишет что не может найти ни одного диска для установки.
    Скачал Dr. Web CureIt и сделал им полную проверку и в безопасном режиме тоже.
    Он что-то подчистил. Поставил NOD.
    При перезагрузке наличие вируса подтвердилось.
    Обращаюсь к вам.
    Помогите пожалуйста.
    В терминах не силён и прошу как-нибудь доходчевей.
    С уважением Василий.
    По вашей инструкции собрал данные о системе.
    Вроде всё сделал правильно. Не судите строго, но с компом я на Вы.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-9340325523-0959167780-008364665-3204\nissan.exe','');
     QuarantineFile('\systemroot\system32\drivers\vsfoceoptalkdi.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\vsfoceoptalkdi.sys','');
     DeleteFile('\systemroot\system32\drivers\vsfoceoptalkdi.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-9340325523-0959167780-008364665-3204\nissan.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\vsfoceoptalkdi.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
    Сделайте новые логи по правилам.
    + еще вот такой лог
    Последний раз редактировалось DefesT; 31.07.2009 в 19:18. Причина: SetAVZPMStatus(True); ;)

  4. #3
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    При попытке выполнить указанный скрипт пишет
    "Ошибка: ')' expected в позиции 9:13"

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от VasyaB Посмотреть сообщение
    "Ошибка: ')' expected в позиции 9:13"
    Исправлено

  6. #5
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Спасибо, всё заработало.
    По ссылке выслал запрошенный вамы карантин AVZ.
    Высылаю новые логи.
    После сканирования Gmer (лог которого прикрепил ) он написал, что обнаружил активный Rootkit.
    Может надо ещё что-то сделать?
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    StopService('vsfocebpxusiww');
    QuarantineFile('C:\windows\system32\drivers\vsfoceoptalkdi.sys','');
    QuarantineFile('C:\windows\system32\vsfoceemxeqmqb.dll','');
    QuarantineFile('C:\windows\system32\vsfocefesupqjp.dat','');
    QuarantineFile('C:\windows\system32\vsfocewybimxub.dll','');
    QuarantineFile('C:\windows\system32\vsfocefdxwhgyp.dat','');
    DeleteFile('C:\windows\system32\drivers\vsfoceoptalkdi.sys');
    DeleteFile('C:\windows\system32\vsfoceemxeqmqb.dll');
    DeleteFile('C:\windows\system32\vsfocefesupqjp.dat');
    DeleteFile('C:\windows\system32\vsfocewybimxub.dll');
    DeleteFile('C:\windows\system32\vsfocefdxwhgyp.dat');
    RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services','vsfocebpxusiww');
    RegKeyParamDel('HKLM','SYSTEM\ControlSet002\Services','vsfocebpxusiww');
    DeleteService('vsfocebpxusiww');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('vsfocebpxusiww');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Сделайте лог GMER
    - Повторите действия, описанные в п. 2,3 Диагностики и новые логи прикрепите к новому сообщению.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  8. #7
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Выслал очередной карантин по ссылке.
    Прикрепил новые логи.
    AVZ нашел какой-то троян nissan.exe
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скопируйте содержимое в блокнот , сохраните как 1.bat , в папке со gmer , запустите
    Код:
    gmer.exe -del service vsfocebpxusiww
    gmer.exe -del file "C:\WINDOWS\system32\drivers\vsfoceoptalkdi.sys"
    gmer.exe -del file "C:\WINDOWS\system32\vsfoceemxeqmqb.dll"
    gmer.exe -del file "C:\WINDOWS\system32\vsfocefesupqjp.dat"
    gmer.exe -del file "C:\WINDOWS\system32\vsfocewybimxub.dll"
    gmer.exe -del file "C:\WINDOWS\system32\vsfocefdxwhgyp.dat"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet\Services\vsfocebpxusiww"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfocebpxusiww"
    gmer -reboot
    повторите лог gmer

  10. #9
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Выполнил написанный батник.
    Высылаю лог Gmer.
    Что делать дальше?
    Вложения Вложения
    • Тип файла: log Gmer.log (7.9 Кб, 4 просмотров)

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В этом логе порядок

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\RECYCLER\S-1-5-21-8365523118-6942347721-234933763-3727\nissan.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-8365523118-6942347721-234933763-3727\nissan.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Выполнил скрипт в AVZ.
    Незнаю какой именно архив надо было выслать по ссылке вверху темы поэтому выслал два архива.
    Прикрепляю новые логи.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Vshelazlklter');
     QuarantineFile('Vshelazlklter.sys','');
     DeleteFile('Vshelazlklter.sys');
     DeleteFile('%systemroot%\system32\drivers\Vshelazlklter.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-8365523118-6942347721-234933763-3727\nissan.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Vshelazlklter');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  14. #13
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Почему-то при запуске стало автоматически появляться окно
    "Мои документы"? Можно его как-нибудь убрать?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от VasyaB Посмотреть сообщение
    Почему-то при запуске стало автоматически появляться окно
    "Мои документы"? Можно его как-нибудь убрать?
    скопируйте содержимое в блокнот:
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "PersistBrowsers"=dword:00000000
    сохраните как 123.reg запустите и разрешите добавить в реестр ..

  16. #15
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Спасибо, Мои документы больше не появляются.
    Выполнил вышеуказанный скрипт.
    Выслал карантин по ссылке и сделал очередный логи.
    Жду дальнейших инструкций.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Удалите Bonjour

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\RECYCLER\S-1-5-21-9767382580-6144453777-811367005-0362\nissan.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Vshelazlklter');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи по п.2 и 3 Диагностики.

  18. #17
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Удалил Bonjour.
    Прикрепил запрошенные логи.
    Что дальше?
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Доубираем Bonjour
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Bonjour Service');
     DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Bonjour Service');
    BC_Activate;
    RebootWindows(true);
    end.
    Больше ничего подозрительного. Жалобы есть?

  20. #19
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    15
    Вес репутации
    54
    Огромное спасибо.
    Не знаю как вас благодарить.
    Всё работает как часы, сосед доволен как слон.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В моей подписи написано, как можно нас отблагодарить.

  • Уважаемый(ая) VasyaB, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    5. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01235 seconds with 20 queries