-
Junior Member
- Вес репутации
- 53
Троян Olmarik.RE как удалить?
Вчера комп на работе подхватил вирус File Downloader. Почитав на здесь на форуме удалось его удалить. А вот после него начал появляться Olmarik.RE. Стоит антивирус NOD32 2.7 c последними базами. Но он только предотвращает его деятельность, а не удаляет. Даже почитав на форуме как удаляют его другие, ничего не помогло. На компе работает сметчица и работы много. Помогите избавиться.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
O20 - AppInit_DLLs: karina.dat
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winip16.sys','');
QuarantineFile('F:\winio.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl06.sys','');
DeleteService('Winyf74');
DeleteService('Winlr63');
DeleteService('Winip16');
DeleteService('WINIO');
DeleteService('Wingn53');
DeleteService('Wingm27');
DeleteService('Winfl06');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl06.sys');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn53.sys');
DeleteFile('F:\winio.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winip16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf74.sys');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','braviax');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','braviax');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winyf74');
BC_DeleteSvc('Winlr63');
BC_DeleteSvc('Winip16');
BC_DeleteSvc('WINIO');
BC_DeleteSvc('Wingn53');
BC_DeleteSvc('Wingm27');
BC_DeleteSvc('Winfl06');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (их должно быть 3!)
-
-
-
-
Junior Member
- Вес репутации
- 53
Ребята, спасибо большое за такой быстрый ответ. Сделал все как вы сказали. Просто супер. Вирус уничтожен. Да и программка tdsskiller тоже нашла 2 зараженных элемента в памяти и вылечила их. Спасибо вам DefesT и snifer67!!!
Если есть немножко времени, DefesT, скажи пожалуста, как ты догадался что эти .sys'овские файлы в папке ...\drivers\ - вирусы? Чтоб в следующий раз вас не мучить, хотелось бы понять. Но в любом случае громадное СПАСИБО! и С наступающим новым годом ребята!
-
Сделайте новые логи и карантин загрузите. Лечение пока не закончилось.
По поводу .sys'овских файлов - накопленный опыт в борьбе с вредоносным ПО.
Если хотите сами бороться с зловредами, можете подать заявку на вступление в группу "студентов" и пройти обучающий курс.
-
-
Junior Member
- Вес репутации
- 53
Логи сделал. Только почему то в карантине avz у меня только текстовые ini файлы с информацией о зараженных файлах, а самих файлов нет. Видимо при лечении у меня не стояла галка на "копировать в карантин". Поэтому извиняюсь, что допустил оплошность.
Последний раз редактировалось pig; 24.12.2009 в 20:26.
Причина: карантин в теме - моветон. даже если такой...
-
Думаю, что это ваш NOD весь карантин сожрал. Антивирусы при лечении в "Помогите!" надо отключать.
-
-
Junior Member
- Вес репутации
- 53
Комп излечен. Спасибо большое. Пометку "В работе" с названия темы думаю можно убрать. Очень благодарен.