-
Junior Member
- Вес репутации
- 54
Нахватал вирусов - Rootkit.Agent. и Olmarik
Здравствуйте! очень вас прошу помочь. Дело было так.
У меня стоял антивирус Доктор Веб. После заражения перестала работать такая составляющая как Spider Guard и перестали устанавливаться обновления, причем последнее обновление значилось за 1970 год.
сканирование Dr.Web Cureit показывало наличие зараженного файла с длинным непонятным именем.dll. удаление происходило, но ничего не мянялось, при следущем сканировании он опять обнаруживался.
Затем я поставил пробную версию Not 32, при сканировании было обнарудено много всего, но две проблемы оставались нерешенными -
Win32/Rootkit.Agent.ODG и Win32/Olmarik - писало очистка невозможна.
Следуя рекомендованным вами инструкциям поставил AVZ, но "в ходе обновления - ошибка загрузки файла" обновление не выполняется, поэтому все отсканировал со старыми базами.
И еще в последнее время меня терзают сомнения- мне кажется кто-то роется в моем компе - раьше у меня совсем не было локального сетевого окружения, а теперь там откудато взялись какие-то папки. а в папке Documents and Setting кроме папки Админ и Моей еще какие-то папки появились. ДЕМОНЫ!!!
Помогите пожалуста или если дело слишком запущено подскажите, может лучше переустановить систему, или есть опасность что вирусняк засел глубоко и это не поможет???
Заранее спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\gasfkysxttyiib.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\gasfkysxttyiib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи + такой http://www.gmer.net/
-
-
Junior Member
- Вес репутации
- 54
карантин выслал. вечером пришлю все остальное.
-
Junior Member
- Вес репутации
- 54
Скрипты выполнил, при проверке NoD32 находит только Olmarik. свой доктор веб пока не ставил, тока Cureit, если надо пришлю отчет сканирования Cureit.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gasfkysxttyiib.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gasfkyqenqkovy.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gasfkyqenqkovy.sys');
DeleteFile('C:\WINDOWS\system32\gasfkysxttyiib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
карантин выслал.
Скажите пожалуйста, а проверку опять производить по полной программе? - сначала антивирусом, потом Cureit, потом AVZ и так далее или начинать с AVZ, Hijakthis, Gmer???
-
начинать с AVZ, Hijakthis, Gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\gasfkyqenqkovy.sys','');
DeleteFile('c:\windows\system32\drivers\gasfkyqenqkovy.sys');
QuarantineFile('c:\windows\system32\gasfkyglccrynm.dll','');
DeleteFile('c:\windows\system32\gasfkyglccrynm.dll');
QuarantineFile('c:\windows\system32\gasfkysxttyiib.dll','');
DeleteFile('c:\windows\system32\gasfkysxttyiib.dll');
QuarantineFile('c:\windows\system32\gasfkymxhtfgiy.dll','');
DeleteFile('c:\windows\system32\gasfkymxhtfgiy.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service gasfkyuekkqggg
gmer.exe -del file "c:\windows\system32\drivers\gasfkyqenqkovy.sys"
gmer.exe -del file "gasfkywsp8.dll"
gmer.exe -del file "c:\windows\system32\gasfkyglccrynm.dll"
gmer.exe -del file "c:\windows\system32\gasfkycqupfbso.dat"
gmer.exe -del file "c:\windows\system32\gasfkysxttyiib.dll"
gmer.exe -del file "c:\windows\system32\gasfkybbedaamu.dat"
gmer.exe -del file "c:\windows\system32\gasfkymxhtfgiy.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkyuekkqggg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gasfkyuekkqggg"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Все сделал. во время выполнения clenup Windows все время выкидывал ошибку -Неверный дискриптор чето такое - но перезагрузился нормально.
-
-
-
Junior Member
- Вес репутации
- 54
Да, кажись миновала эта напасть! Тьфу-тьфу-тьфу!
Поставил свой бывший антивирус Др.Веб вроде все работает как надо. Просканировал - ничего не нашел...
Вы ребята просто молодцы! Спасибо вам всем за профессиональную, грамотную и оперативную помощь. Благородными делами занимаетесь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\gasfkyqenqkovy.sys - Packed.Win32.TDSS.z
- c:\windows\system32\gasfkysxttyiib.dll - Packed.Win32.TDSS.z ( DrWEB: Trojan.Packed.2788, AVAST4: Win32:Alureon-DA [Rtk] )
- \\?\globalroot\systemroot\system32\gasfkysxttyiib. dll - Packed.Win32.TDSS.z ( DrWEB: Trojan.Packed.2788, AVAST4: Win32:Alureon-DA [Rtk] )
-