Win32/Agent.ODG?

Printable View

14.04.2009, 12:32
Alextrop

Вложений: 3

Win32/Agent.ODG?

Скорее всего проблема связана с Win32/Agent.ODG.
При попытке установки Касперского как только копирование файлов BSOD (*08e) и в ребут уходит. Др. вебом ничего не находит, нод находит вышеописаный но бороться не может. Утилита от касперского для лечения не запускается вообще.
14.04.2009, 12:39
PavelA

Выполнить:
[CODE]
begin
SetAVZPMStatus(true);
Rebootwindows(true);
end.
[/CODE]

Повторить логи.
14.04.2009, 13:37
Alextrop

Вложений: 3

Вот логи
14.04.2009, 13:46
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\pgpmapih.dll','');
QuarantineFile('\systemroot\system32\drivers\gxvxcxfyuttwpwpcyybpmdrmmovxgxwxcnque.sys','');
DeleteFile('\systemroot\system32\drivers\gxvxcxfyuttwpwpcyybpmdrmmovxgxwxcnque.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=43790[/url]
14.04.2009, 21:06
Alextrop

Вложений: 3

Логи сделал. Карантин отправил.
15.04.2009, 10:56
Rene-gad

АВЗ запускать от имени администратора!

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
17.04.2009, 02:08
Alextrop

Огромное спасибо за толковую помощь. Не знаю чтобы делал без вас. Всё вылечилось.
17.04.2009, 10:03
Rene-gad

[QUOTE=Alextrop;388643]Всё вылечилось.[/QUOTE]Логи в студию, плиз.
17.04.2009, 10:33
PavelA

Лог Гмера сделай. Как и что смотри в "Чаво"
18.04.2009, 01:15
Alextrop

Вложений: 3

ВОт логи. Определите действительно ли излечение. И ещё вопросик возник при попытке снять логи гмером в режиме руткит он пишет что обнаружена подозрительная активность и файл с длинным и странным именем.sys (Обычно при Кидо бывает) в system32/drivers. И при нажатии расшир скан вырубается с BSOD (8e). Лезу тоталом коммандером в папку такого файла нет (скрытого тоже) проверял двумя программами. Что делать, Господа?
19.04.2009, 00:54
Rene-gad

[QUOTE=Alextrop;389113]Что делать, Господа?[/QUOTE]Ну PavelA Вам же написал, а Вы не выполнили...

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\05A2~1\AppData\Local\Temp\Y.sys','');
QuarantineFile('Q:\autorun.inf','');
DeleteFile('Q:\autorun.inf');
DeleteFile('C:\Users\05A2~1\AppData\Local\Temp\Y.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
19.04.2009, 13:20
Alextrop

То что писал Павел выполнено в полном объеме.

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 42 минуты[/I][/B][/color][/size]

Результат загрузки
Файл сохранён как 090419_131954_2009-04-19_49eaecba50779.zip
Размер файла 1249
MD5 3c1f5ad1285a776ff489f30afa077c3e

Файл закачан, спасибо!
19.04.2009, 14:07
Alextrop

Вложений: 3

Логи сделал. Всё как писали. При попытке сняти лога гмером вот такая ошибка:
[CODE]Сигнатура проблемы:
Имя события проблемы: BlueScreen
Версия ОС: 6.0.6001.2.1.0.256.1
Код языка: 1049

Дополнительные сведения об этой проблеме:
BCCode: 1000008e
BCP1: C0000005
BCP2: 81E6D842
BCP3: 9E940A54
BCP4: 00000000
OS Version: 6_0_6001
Service Pack: 1_0
Product: 256_1

Файлы, содержащие сведения об этой проблеме:
C:\Windows\Minidump\Mini041909-01.dmp
C:\Users\Александр\AppData\Local\Temp\WER-574988-0.sysdata.xml
C:\Users\Александр\AppData\Local\Temp\WERF9B9.tmp.version.txt[/CODE]
Жду помощи.
20.04.2009, 13:43
Rene-gad

Пофиксите
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Àëåêñàíäð\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Перед запуском gmer отключите антивирус и файрвол сделайте полный скан, лог прикрепите.
20.04.2009, 14:19
Alextrop

Вложений: 2

Теперь Гмер не выбивает с синим экраном, но выбивает с такой ошибкой. Скриншот прилагаю. Outpost и Касперский 2009 отключил. До Гмера после фикса снял HiJack лог системы.
[CODE]Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: 195eokoz.exe
Версия приложения: 1.0.15.14966
Штамп времени приложения: 49ccf290
Имя модуля с ошибкой: 195eokoz.exe
Версия модуля с ошибкой: 1.0.15.14966
Штамп времени модуля с ошибкой: 49ccf290
Код исключения: c0000005
Смещение исключения: 0000c4b1
Версия ОС: 6.0.6001.2.1.0.256.1
Код языка: 1049
Дополнительные сведения 1: 0fcc
Дополнительные сведения 2: f8056bb99b146ae313323a608f2acbff
Дополнительные сведения 3: c4f6
Дополнительные сведения 4: 27aaacdfec32201b055e4cb3e5cb2f8c
[/CODE]
20.04.2009, 16:33
V_Bond

такой [url]http://virusinfo.info/showthread.php?t=40120[/url] лог сделайте ...
21.04.2009, 22:25
Alextrop

Вложений: 1

Сделал
21.04.2009, 22:31
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\drivers\gxvxcxfyuttwpwpcyybpmdrmmovxgxwxcnque.sys','');
DeleteFile('C:\Windows\system32\drivers\gxvxcxfyuttwpwpcyybpmdrmmovxgxwxcnque.sys');
BC_ImportDeletedList;
BC_DeleteSvc('gxvxcserv.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
22.04.2009, 22:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\gxvxcxfyuttwpwpcyybpmdrmmovxgxwxcnque.sys - [B]Rootkit.Win32.Agent.ivi[/B][/LIST][/LIST]