win32/Olmarik

[truexcolors]

Добрый вечер
При загрузке nod обнаруживает, в оперативной памяти, троян Olmarik, но не может его удалить("очистка невозможна")

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-5245333636-8912301440-264624505-0642\hdav.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-5245333636-8912301440-264624505-0642\hdav.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ЫуеAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

[truexcolors]

сделал

[V_Bond]

сохраните содержимое в блокноте как 1.bat , pfgecnbnt

Код:

7y7omwqq.exe -del service rotscxrfvxvith 
7y7omwqq.exe -del file "C:\WINDOWS\system32\drivers\rotscxxtexnked.sys"
7y7omwqq.exe -del file "C:\WINDOWS\system32\gxvxctaivkytkucukyomeoonmdqruufytgjig.dll"
7y7omwqq.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6F9007F6-B3AE-2D0F-2902-87BB4E28C802} "                                                                                                                            
7y7omwqq.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C57059DC-8067-502E-E1DC-D23AF8C3C507}"                                                                                                                    
7y7omwqq.exe -reboot

повторите логи

[truexcolors]

выдало ошибки

[thyrex]

Такое возможно. Выполняйте совет V_Bond. Лог gmer, который выкладывали, был сделан после нажатия на Scan?

[truexcolors]

При запуске гмер сам обнаружил руткит и предложил просканировать, я согласился

Добавлено через 7 минут

сейчас гмер два раза вешал систему приходилось ребутнуться...

[truexcolors]

готово

[truexcolors]

кто-нибудь скажет что-нибудь?)
не было день, включил сегодня и ашалел, теперь при запуске синий экран и требуют смс) видимо Olmarik подсобил (Win32/Olmarik is a typical trojan virus designed to download and install malware or spyware onto compromised PCs).
опять запустил в безопасном режиме cureit, посмотрим что выдаст

Добавлено через 52 минуты

скан cureitом ничего не дал

Добавлено через 2 часа 50 минут

кто-нибудь подскажет что делать?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\rotscxxtexnked.sys','');
DeleteFile('c:\windows\system32\drivers\rotscxxtexnked.sys');
QuarantineFile('c:\windows\system32\rotscxevpesmjn.dll','');
DeleteFile('c:\windows\system32\rotscxevpesmjn.dll');
QuarantineFile('c:\windows\system32\rotscxnpcvniuo.dll','');
DeleteFile('c:\windows\system32\rotscxnpcvniuo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 7y7omwqq.exe (gmer)

Код:

7y7omwqq.exe -del service rotscxrfvxvith
7y7omwqq.exe -del file "c:\windows\system32\drivers\rotscxxtexnked.sys"
7y7omwqq.exe -del file "c:\windows\system32\rotscxevpesmjn.dll"
7y7omwqq.exe -del file "c:\windows\system32\rotscxtixgexol.dat"
7y7omwqq.exe -del file "c:\windows\system32\rotscxnpcvniuo.dll"
7y7omwqq.exe -del file "c:\windows\system32\rotscxxbfjwsfa.dat"
7y7omwqq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxrfvxvith"
7y7omwqq.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxrfvxvith"
7y7omwqq.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены