Printable View
Здравствуйте, господа. Гуглил немного и набрел на Вас. Столкнулся с проблемой. В лице вот этого товарища WIn32/Agent.ODG Найден он был в оперативке, программой Нод32 4ой версии. Поглядел соседние топики, там у людей тоже такая же проблема была. Сравнил лекарства - разные. Помогите пожалуйста :). И что же это за бяка такая. Вроде как мой первй случай заражения чем либо. До этого стороной обходило.
Заранее благодарен.
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [GEST] =
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS3\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cimo.ahc','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=43340[/url]).
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
P.S. Антивирус Касперского 5.0 деинсталлируйте.
Отправил карантин по ссылочке.
[CODE]Файл сохранён как 090407_094523_virus_49dae8738d3b1.zip
Размер файла 33761
MD5 e1f422eb510b2bd709524916d0e338b9[/CODE]
Нод32 попрежнему в оперативной памяти находит все тот же win32/Agent.odg
Снова логи? Они немного отличаются от предыдущих.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
kav 5 деинсталлировал.
Можно немножко инфы про этот вирус? В сети по нему прям мизер. Это нечто свежее?
Файлы в карантине безвредные.
В логах ничего подозрительного.
В AVZ выберите в меню [I]AVZPM -> Установить драйвер...[/I]
Перезагрузите компьютер и сделайте заново логи AVZ,
может и всплывет еще что-нибудь.
А может это быть просто пустышкой? Ну или ложной тревогой. Однако фиксить hijackthis что то пришлось.... И в соседних топиках с тойж проблемой были похлжие фиксы hijackthis.
Вот логи с драйвером:
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\gaopdxkippwhooboeyxmdjnbgrqlalbapeosyw.sys','');
DeleteFile('\systemroot\system32\drivers\gaopdxkippwhooboeyxmdjnbgrqlalbapeosyw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Логи после скрипта. Так же с драйвером.
Карантин - [B]090407_134929_virus_49db21a9d2abb.zip[/B]
В логах чисто...
Скажите тогда мне... ну для успокоения души. Могу я с этим жить? :) Ну пожалста :)
Зачем - [B]с этим[/B]?
Вам [B]это[/B] уже вылечили (свежая версия BackDoor.Tdss)!
Или еще проблемы остались?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Давайте еще пару файликов проверим.
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\innounp.exe','');
QuarantineFile('C:\RECYCLER\S-6-4-96-100013031-100004330-100009394-1879.com','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Угу.... проблема осталась. Не успел я выполнить скрип. Сейчас пишу с телефона. Винда в ночь слетела. Сначала упал инет, запустил снова. Через пару минут снова упал - не смог восстановить. Перезагрузился. Появилась только обоина. Диспетчер задач работал, вызвал експлорер.ехе - нет доступа. Провер екзешник через тотал коммандер - ехе мертвый и малого объема. Потыркался попыркался. Чувствую файлы какие запускал мрут (прям как от цыха). Решил восстановиться с бэкапа из хэнди бэкап - не вышло. Перезагрузился - винда в черном экране ввозникает по поводу папки систем 32 и предлагает мне восстановиться через консоль. Вот думаю так и попробовать сделать. Но вирь 100 %где то остался. Форматировать весь виинт нет возможности. Максимум системный диск. Вот и думаю. Может Вы что посоветуете?
Используйте консоль восстановления...
А на счет того что он мог остаться? Может как то можно предупредить его появление.
Не знаем, в логах нет, дальше мы не видим...
Спасибо :), кстати на счет фaйла innounp.exe. Перед последней фатальной перезагрузкой, видел я рядом с мертвым explorer.exe как раз innounp.exe. Ради любопытсва запустил. Потому что чуял конец. Он запустился и пропал... Инородная вещь скорее всего была.
Спасибо за помощь.
innounp.exe- нормальный файл...
C:\RECYCLER\S-6-4-96-100013031-100004330-100009394-1879.com - тоже TDSS.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-6-4-96-100013031-100004330-100009394-1879.com - [B]Trojan.Win32.TDSS.wtl[/B] ( DrWEB: BackDoor.Tdss.119 )[*] c:\windows\system32\drivers\gaopdxkippwhooboeyxmdjnbgrqlalbapeosyw.sys - [B]Trojan.Win32.Agent2.imv[/B] ( DrWEB: BackDoor.Tdss.115 )[/LIST][/LIST]