Здравствуйте. Помогите пожалуйста удалить вирус. Сидит в опреративной памяти. Антивирусник nod32 antivirus 4.0.417. Фаервол Outpost. Зделал все по пунктам. DrWeb CureIt! обнаружил 7 угроз, все удалил и переместил, но Win32/Agent.ODG все еще остался.
Printable View
Здравствуйте. Помогите пожалуйста удалить вирус. Сидит в опреративной памяти. Антивирусник nod32 antivirus 4.0.417. Фаервол Outpost. Зделал все по пунктам. DrWeb CureIt! обнаружил 7 угроз, все удалил и переместил, но Win32/Agent.ODG все еще остался.
Схватил кстати может быть из-за Djvu программы (качал тут [url]http://www.amyat.narod.ru/faq/djvu.html[/url]) и в это же время переустанавливал Nod32.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{A4ED3F46-C007-46A0-9520-A0BD86CF79FF}: NameServer = 85.255.112.214,85.255.112.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{F036D6D8-205C-408D-B427-4010D4C501F8}: NameServer = 85.255.112.214,85.255.112.22
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.214,85.255.112.22
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.214,85.255.112.22
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.214,85.255.112.22[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxclwxrtextidupkvbqttrnkvrndjbpjwqc.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxclwxrtextidupkvbqttrnkvrndjbpjwqc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Зделал что велели =)
Дравера с какого то устройства слетели, как я понял это сработали коды.
[B]virus.zip[/B] закачал через [url]http://virusinfo.info/upload_virus.php?tid=43618[/url]
что то я этот фаил не наблюдаю в теме, он к вам на сервер пришел?
Вот новые логи.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повториите логи
Выполнил скрипт. Сделал 2 карантина(т.е. 2 фаила virus.zip), [B]1ый[/B] с выполненым скриптом, но до выполнения логов (с подозрением на Keylogger) и [B]2ой[/B] после скрипта и после логов (скопирован МП), какой вам прислать?
Вот новые логи.
Вирус не подает знаков =) была еще какая то атака, Фаервол ругался много, тоже исчезла.
Сделайте полную проверку CureIT, в логах чисто...
А карантин то надо?
Блин, а можно не CureIT, есть какой нибудь антивирусник пошустрее? CureIT у меня проверяет 15 часов в безопасном режиме, это много.
А еще, скажите пожалуйста, когда можно будет включать восстановление системы?
[QUOTE=SerenPsy88;386079]
Блин, а можно не CureIT, есть какой нибудь антивирусник пошустрее? [/QUOTE]Блином и проверьте - будет быстрее.. ;) Вам побыстрее надо или вирус удалить?
Насчет восстановления - как хотите, это не обязательно.
ПС: Конечно, за [B]15 часов[/B] можно было систему 3 раза по новой установить 8)
Спасибо большое вам!!!
Придется проверить.
Классный сайт у вас!!!
[QUOTE]Конечно, за 15 часов можно было систему 3 раза по новой установить [/QUOTE]
оффтоп:
Я думаю крякнутую можно, а вот если лицензия у меня, там ведь можно только один раз регистрировать, на сколько я помню. хотя я и лицензию ломал ))
[QUOTE]Насчет восстановления - как хотите, это не обязательно.[/QUOTE]
Не обязательно? =\ а если винда политит как восстанавливать?
И еще хотел спросить, где можно узнать принцип работы AVZ, HiJackThis?
[QUOTE=SerenPsy88;386093]
если лицензия у меня, там ведь можно только один раз регистрировать, на сколько я помню. [/QUOTE]Ерунда :) Есть ограничение на онлайн-активации в течение полугода после активации. Но в случае аварийного выпадения системы можно по телефону активировать.
[QUOTE]
Не обязательно? =\ а если винда политит как восстанавливать?[/QUOTE]Если Винда полетит - см. предыдущее сообщение :) Системное восстановление может выручить при каком-то кривом шаге, напр. случайно удаленном ключе реестра. А может и [I]не[/I] выручить ..8)
[QUOTE=SerenPsy88;386093]
И еще хотел спросить, где можно узнать принцип работы AVZ, HiJackThis?[/QUOTE]
У производителя :)
Спасибо!!! =) остался доволен.
PS А тему как закрывают, когда последнюю проверку сделаю? сейчас не буду делать проверку, на ночь поставлю. Но в целом - больше не беспокоят виры =)
[QUOTE=SerenPsy88;386104]А тему как закрывают, когда последнюю проверку сделаю? [/QUOTE]Тему закрывают, если в течение нескольких недель в ней ничего не происходит.
Кстати в драверах какого железа вирусы сидели? А то я понять не могу, какие драва ставить на это устройство.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Сейчас появляется всегда: найдено новое устройство.
[QUOTE=SerenPsy88;386139]Кстати в драверах какого железа вирусы сидели? [/QUOTE]никакое это не устройство, апросто малварь
[QUOTE=SerenPsy88;386139]
Сейчас появляется всегда: найдено новое устройство.[/QUOTE]Ну удалите его из диспетчера оборудования.
аа, это вирус сам был =) понятно.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\gxvxclwxrtextidupkvbqttrnkvrndjbpjwqc.dll - [B]Trojan.Win32.Agent2.hoq[/B] ( DrWEB: Trojan.Click.25632 )[/LIST][/LIST]