Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна

**Altist** · 28.08.2009, 21:07

Доброго времени суток!
Проблема у меня следующая: NOD32 4.0.424.0 выдает сообщение: "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна".
Все делал по инструкции форума. Логи ниже.
Прошу помощи.
Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 28.08.2009, 21:28

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('rgadtm.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('rgadtm.dll');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

**Altist** · 28.08.2009, 22:31

Сделал, как Вы сказали.

**light59** · 29.08.2009, 00:03

В AVZ -> файл-> Выполнить скрипт

Код:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\SKYNETdxslegrn.dat','');
 QuarantineFile('c:\windows\system32\SKYNETnfyxusip.dll','');
 DeleteFile('c:\windows\system32\SKYNETnfyxusip.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\SKYNETfvmeoaxt.sys');
 DeleteFile('c:\windows\system32\SKYNETdxslegrn.dat');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

После запуска Gmer Вам необходимо нажать на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и нажмите Run

Код:

gmer.exe -del service SKYNETnreejcbr
gmer.exe -del file "c:\windows\system32\drivers\SKYNETfvmeoaxt.sys"
gmer.exe -del file "c:\windows\system32\SKYNETnfyxusip.dll"
gmer.exe -del file "c:\windows\system32\SKYNETdxslegrn.dat"
gmer.exe -del file "c:\windows\system32\SKYNETuffphynl.dll"
gmer.exe -del file "c:\windows\system32\SKYNETwospwiee.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETnreejcbr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETnreejcbr"
gmer.exe -reboot

Скачайте новую версию AVZ (ссылка на скачивание в Правилах)

Повторите лог gmer + AVZ

**Altist** · 29.08.2009, 03:52

Увеличиваю до одного символа.

**Altist** · 29.08.2009, 04:45

Только что проверил комп через nod32 и он не нашёл заражённых файлов. Значит ли это, что мне с Вашей помощью удалось избавиться от вируса?

**Белый Сокол** · 29.08.2009, 08:57

Сохраните текст ниже как cleanup.bat в ту же папку, где находится nch9b8fw.exe (gmer)

Код:

nch9b8fw.exe -del service SKYNETnreejcbr
nch9b8fw.exe -del file "c:\windows\system32\drivers\SKYNETfvmeoaxt.sys"
nch9b8fw.exe -del file "SKYNETwsp.dll"
nch9b8fw.exe -del file "c:\windows\system32\SKYNETnfyxusip.dll"
nch9b8fw.exe -del file "c:\windows\system32\SKYNETdxslegrn.dat"
nch9b8fw.exe -del file "c:\windows\system32\SKYNETuffphynl.dll"
nch9b8fw.exe -del file "c:\windows\system32\SKYNETwospwiee.dat"
nch9b8fw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETnreejcbr"
nch9b8fw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETnreejcbr"
nch9b8fw.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится.

Повторите логи.

**Altist** · 30.08.2009, 14:36

Запуская

cleanup.bat, после выполнения каждого задания (строчки), вижу такое сообщение.

Так должно быть?

**Rene-gad** · 30.08.2009, 14:44

Сообщение от Altist

Так должно быть?

Так может быть.
Повторяйте логи.

**Altist** · 30.08.2009, 15:55

Понял.

**Rene-gad** · 30.08.2009, 16:07

- В логах ничего подозрительного. Жалобы есть?

- Установите IE 8.

**Altist** · 30.08.2009, 16:19

Жалоб нету, антивирус вроде не ругается.
Я Mozilla пользуюсь. Советуете перейти на IE8?

**Alex_Goodwin** · 30.08.2009, 18:02

нет.

Не переходите, просто обновите тот, который у Вас установлен.

**Altist** · 31.08.2009, 00:55

Спасибо вам всем огромное за помощь и за сайт!
Есть ли у вас счёт в moneybookers?

**Alex_Goodwin** · 31.08.2009, 01:18

Есть. Подробности -http://virusinfo.info/showthread.php?t=17130

**Altist** · 31.08.2009, 05:51

Спасибо.

**CyberHelper** · 01.09.2009, 05:51

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.3438 )
2. c:\windows\system32\skynetnfyxusip.dll - Packed.Win32.TDSS.z ( AVAST4: Win32:Alureon-CU [Rtk] )

Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна (заявка № 53188)

Опции темы