На машине вдруг появилась подозрительная утилита, маскирующаяся под антивирус, в ходе сканирования памяти ESET Nod указал на Win32/Olmarik.JU
Впринципе похожий случай нашел здесь http://virusinfo.info/showthread.php?t=50846
Заранее спасибо.
На машине вдруг появилась подозрительная утилита, маскирующаяся под антивирус, в ходе сканирования памяти ESET Nod указал на Win32/Olmarik.JU
Впринципе похожий случай нашел здесь http://virusinfo.info/showthread.php?t=50846
Заранее спасибо.
Логи делали с отключенным антивирусом?
Почему после проверки CureIt вы не перезагружались? Или же вы делали логи во время проверки CureIt?
сделайте лог gmer
Скан делался в безопасном режиме с отключенным антивирусом.
CureIt пытался запустить, но когда нажимал на пуск - вылетал с ошибкой "инструкция обратилась по адресу блаблабла.. память не может быть read"
Прикрепляю лог gmer и syscheck от первой редакции Вашего сообщения.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\geyekrrrwxyxje.dll',''); QuarantineFile('c:\windows\system32\geyekrtamyjwef.dat',''); QuarantineFile('c:\windows\system32\geyekrkethkdkp.dll',''); QuarantineFile('c:\windows\system32\geyekrbjxvpavf.dat',''); QuarantineFile('c:\windows\system32\drivers\geyekrhfqjpyxu.sys',''); QuarantineFile('c:\windows\system32\DRIVERS\ehdrv.sys',''); DeleteFile('c:\windows\system32\drivers\geyekrhfqjpyxu.sys'); DeleteFile('c:\windows\system32\geyekrbjxvpavf.dat'); DeleteFile('c:\windows\system32\geyekrkethkdkp.dll'); DeleteFile('c:\windows\system32\geyekrtamyjwef.dat'); DeleteFile('c:\windows\system32\geyekrrrwxyxje.dll'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сохраните текст ниже как 222.bat в ту же папку, где находится gmer.exe
И запустите 222.bat.Код:gmer.exe -del file "c:\windows\system32\drivers\geyekrhfqjpyxu.sys" gmer.exe -del file "c:\windows\system32\geyekrrrwxyxje.dll" gmer.exe -del file "c:\windows\system32\geyekrtamyjwef.dat" gmer.exe -del file "c:\windows\system32\geyekrkethkdkp.dll" gmer.exe -del file "c:\windows\system32\geyekrbjxvpavf.dat" gmer.exe -del service geyekrxoiymfvm gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrxoiymfvm" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\geyekrxoiymfvm" gmer.exe -reboot
Компьютер перезагрузится
Пришлите карантин AVZ согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=51473
Повторите логи, в том числе gmer
Карантин залил. если нужно здесь писать, то имя файла 090806_195821_virus_4a7afd9d15f86.zip
После повторного сканирования AVZ нашёл какой-то другой DLL на который руганулся, прежние вроде удалились, gmer при сканировании "при запуске" больше не нашёл ничего, CureIt смог запуститься.
Сделайте лог AVZ в нормальном режиме.
Сделал.
Жалоб нет. Большое Спасибо =)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\geyekrhfqjpyxu.sys - Trojan.Win32.TDSS.amdm ( BitDefender: Trojan.Generic.2198359 )
- c:\windows\system32\geyekrkethkdkp.dll - Trojan.Win32.Agent.crez ( DrWEB: BackDoor.Tdss.333, BitDefender: Trojan.CryptRedol.Gen.2 )
- \\?\globalroot\systemroot\system32\geyekrkethkdkp. dll - Trojan.Win32.Agent.crez ( DrWEB: BackDoor.Tdss.333, BitDefender: Trojan.CryptRedol.Gen.2 )
Уважаемый(ая) Yolk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.