Win32/Olmarik trojan в оперативной памяти

[Gogi]

Olmarik обнаруживается антивирусом Nod32 (4.0.68.0). Сообщает, что "Unable to clean". Очень надеюсь на помощь.

[Aleksandra]

1. Spyware Doctor - деинсталлируйте!
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

[Gogi]

Выполнено, Lady.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\rotscxrqrpfagn.sys','');
 DeleteFile('\systemroot\system32\drivers\rotscxrqrpfagn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=54499

3. Повторите лог virusinfo_syscheck.

4. Такой лог сделайте http://virusinfo.info/showthread.php?t=40118

[Gogi]

В процессе архивирования карантина Nod32 сообщил "..olmarik.LZ trojan Information: cleaned by deleting - quarantined".

Лог virusinfo_syscheck повторил.

При запуске Gmera при автоматической проверке получил сообщение
"Warning! Gmer has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system?".
Ответил нет. А как нужно было?

При выполнении Scana снова сообщение об "..ROOTKIT activity". И после этого процесс сканирования был прерван. То, что прошло - высылаю.

[Aleksandra]

В процессе архивирования карантина Nod32 сообщил "..olmarik.LZ trojan Information: cleaned by deleting - quarantined".

На время лечения антивирус нужно было отключить. Про это было написано.

Выполните в Gmer:

Код:

7fl9zq0i.exe -del service rotscxkhxuwmbp
7fl9zq0i.exe -del file "c:\windows\system32\drivers\rotscxrqrpfagn.sys"
7fl9zq0i.exe -del file "c:\windows\system32\rotscxbowasgfe.dll"
7fl9zq0i.exe -del file "c:\windows\system32\rotscxevrsoiks.dat"
7fl9zq0i.exe -del file "c:\windows\system32\rotscxotrtkhti.dll"
7fl9zq0i.exe -del file "c:\windows\system32\rotscxtyevcvnm.dat"
7fl9zq0i.exe -del file "c:\windows\system32\rotscxuobawqee.dll"
7fl9zq0i.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxkhxuwmbp"
7fl9zq0i.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxkhxuwmbp"
7fl9zq0i.exe -reboot

Повторите лог.

[Gogi]

Скрипт в Gmem выполнил.

Лог virusinfo_syscheck повторяю.

[NickGolovko]

Имелся в виду лог GMER

[Gogi]

Прошу прощения за непонятие. Высылаю: gmer.log

[light59]

у вас NOD + Kaspersky??? Один антивирус деинсталлируйте.

[Gogi]

Удалил Kaspersky.
Просканировал, высылаю gmer.log

!! После перезагрузки Nod32 не сообщает о наличии olmarik'a в памяти. Ok?!
Все ли хорошо?

[light59]

В логе чисто.
Что с проблемами?

[Gogi]

Проблемы пока не обнаруживаются. Пусть бы и дальше так.

Огромное спасибо всем принимавшим участие в моем исцелении -
light59, NickGolovko, и, конечно же, Aleksandra!!!

[NickGolovko]

Всегда рады помочь. Чистого вам Интернета.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены