-
Junior Member
- Вес репутации
- 54
Win32/Rootkit.Agent.ODG.
Здраствуйте.
Примерно неделю назад подхватил вирус Win32/Rootkit.Agent.ODG., который сидит в оперативке, антивирусом nod32 4 не лечится.
Что мне нужно сделать, чтобы удалить этот вирус?
Прошу строго не судить, т.к. с вирусом в оперативке сталкиваюсь первый раз.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Установите AVZPM через меню AVZ.
Перезагрузите компьютер.
Выполните Правила.
-
-
Junior Member
- Вес репутации
- 54
-
Сообщение от
RusL1k
Вот сделал
Не все:
Сообщение от
Лог
не установлен драйвер мониторинга AVZPM
Компьютер заражен файловым вирусом. Пришлите файлы согласно Приложению 2 Правил:
Код:
c:\windows\system32\svchost.exe
c:\windows\system32\ctfmon.exe
Как лечить файловый вирус: http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 54
Перебил винду, вот новые логи с драйвером AZVPM
-
Внимание !!! База поcледний раз обновлялась 08.02.2009
необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ
версии 4.30
...
Восстановление системы: включено
1. Скачайте AVZ 4.32 и обновите ее базы.
2. Отключите восстановление системы!
3. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LIE2A40.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\kbiwkmewvypeje.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kbiwkmewvypeje.sys');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LIE2A40.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
4. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=51978).
5. Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Все сделал.
Файл сохранён как 090829_182904_virus_4a993b308ef3d.zip
Размер файла 72829
MD5 f88b22f9c1734409ba07986305f188a7
-
-
-
Junior Member
- Вес репутации
- 54
Вроде все правильно выполнил.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat". Не забудьте сохраниться именно в ту папку, где находится gmer.exe!).
Код:
gmer.exe -killall
gmer.exe -del service kbiwkmnaluunps
gmer.exe -killfile "C:\WINDOWS\system32\drivers\kbiwkmewvypeje.sys"
gmer.exe -killfile "C:\WINDOWS\system32\kbiwkmpqiohlco.dll"
gmer.exe -killfile "C:\WINDOWS\system32\kbiwkmkkyinwrg.dat"
gmer.exe -killfile "C:\WINDOWS\system32\kbiwkmlpppsuwj.dll"
gmer.exe -killfile "C:\WINDOWS\system32\kbiwkmculebnpv.dat"
gmer.exe -reboot
И запустите cleanup.bat
Система перезагрузится.
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 54
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально увеличит время нашей следующей с Вами встречи
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\kbiwkmewvypeje.sys - Trojan.Win32.Tdss.apsn ( AVAST4: Win32:Alureon-CU [Rtk] )
-