Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна

**14sSs88** · 13.08.2009, 17:44

Здравствуйте, наверное заезженная тема для вас- Win32/Rootkit.Agent.ODG выявил NOD32,но особых проблем нет с работой компьютера,только сильно стал тормозить интернет,помогите пожалуйста,впервые столкнулся с такой проблемой

заранее спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kuzz** · 13.08.2009, 17:51

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp','');
QuarantineFile('C:\Users\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp','');
QuarantineFile('C:\ProgramData\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp','');
QuarantineFile('C:\Documents and Settings\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp','');
QuarantineFile('C:\Users\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp','');
QuarantineFile('C:\ProgramData\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp','');
QuarantineFile('C:\Documents and Settings\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp','');
DeleteFile('C:\Users\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp');
DeleteFile('C:\ProgramData\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp');
DeleteFile('C:\Documents and Settings\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp');
DeleteFile('C:\Users\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp');
DeleteFile('C:\ProgramData\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp');
DeleteFile('C:\Documents and Settings\All Users\Microsoft\Search\Data\Temp\usgthrsvc\Ntf8564.tmp');
 QuarantineFile('C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL','');
 QuarantineFile('C:\Program Files\Cyberlink\Shared Files\brs.exe','');
 QuarantineFile('C:\Windows\system32\drivers\Partizan.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\lullaby.sys','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи

**14sSs88** · 13.08.2009, 19:46

вроде выслал

Добавлено через 46 минут

а дальше что нужно делать??

**thyrex** · 13.08.2009, 19:53

Сообщение от 14sSs88

2.Повторить логи

Выполняйте

**14sSs88** · 13.08.2009, 20:15

Сообщение от thyrex

Выполняйте

повторить логи-это т.е.с чего начинал-заново всё проделывать??

**thyrex** · 13.08.2009, 20:28

Еще раз выполнить правила и предоставить три новых лога

**14sSs88** · 14.08.2009, 20:46

thyrex, спасибо,вот-

**Rene-gad** · 14.08.2009, 21:43

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
 DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**14sSs88** · 14.08.2009, 22:05

Rene-gad, здравствуй,а не подскажешь как выгрузить программы с помощью AVZ??

**Rene-gad** · 14.08.2009, 22:11

Привет

Сообщение от 14sSs88

а не подскажешь как выгрузить программы с помощью AVZ??

Никак

Только убить

**14sSs88** · 15.08.2009, 02:04

вот

**Rene-gad** · 15.08.2009, 11:45

-Пофиксите

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)

Перегрузите систему.
После перезагрузки:
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.

**14sSs88** · 15.08.2009, 17:17

после

Сообщение от Rene-gad

-Пофиксите

-отрубило интернет,нет ни одного соединения

**Rene-gad** · 15.08.2009, 18:33

Сообщение от 14sSs88

после -отрубило интернет,нет ни одного соединения

Запустите Hijackthis, кнопка View the list of backups, отметьте

Код:

O1 - Hosts: ::1 localhost

и нажмите Restore, на вопрос ответьте YES.

Аналогично АВЗ/Файл/Восстановление системы, отметить п.13 и запустить.

**14sSs88** · 15.08.2009, 19:41

Rene-gad,спасибо,разобрался

**Rene-gad** · 15.08.2009, 19:49

-Пофиксите

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA818D4-3F43-4557-BA1A-D17C17802E8A}: NameServer = 85.255.116.76,85.255.112.197
O17 - HKLM\System\CCS\Services\Tcpip\..\{F25343D0-AEB1-41C1-9E61-88F9CAA29834}: NameServer = 85.255.116.76,85.255.112.197

- Перегрузите систему и повторите лог hijackthis

**14sSs88** · 15.08.2009, 20:18

стало выскакивать RegSvr32-зарегистрировать модуль

_

**AndreyKa** · 15.08.2009, 21:17

Пофиксите

Код:

O4 - HKCU\..\Run: [swg] C:\Windows\system32\regsvr32.exe

Перегрузите систему и повторите лог hijackthis.
Проблемы решены?

**14sSs88** · 15.08.2009, 22:37

c вирусом покончено,ВСЕМ огромное СПАСИБО!
AndreyKa,но regsvr32-продолжает выскакивать при включении и при обращении к Internet Explorer

**AndreyKa** · 15.08.2009, 23:03

Деинсталлируйте Google Toolbar. Пофиксите ту строку еще раз.

Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна (заявка № 51996)

Опции темы