Printable View
Здраствуйте.
ESET Smart Security 4.0.424.0 выдаёт сообщение:
"Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна".
Регулярные зависания, постоянно валятся Mozilla Firefox и uTorrent. Попытался поставить dr. Web - не запускается spIDer agent. Вернее запускается, но сразу вываливается
[FONT="]
HijackThis[/FONT] тоже не запускается (ни в обычном, ни в безопасном режиме), поэтому его лог не смог приложить
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msb.exe','');
QuarantineFile('C:\WINDOWS\system32\gxvxcxuhabgdnfylsxmmdjjnwymdntrnsbdpa.dll','');
QuarantineFile('C:\WINDOWS\system32\gxvxcrjhucnujrwebrtyixgidbrwrkdplqjjy.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcpjctttmphpqryxeyxjsaowydoxlngevv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxcpjctttmphpqryxeyxjsaowydoxlngevv.sys');
DeleteFile('C:\WINDOWS\system32\gxvxcrjhucnujrwebrtyixgidbrwrkdplqjjy.dll');
DeleteFile('C:\WINDOWS\system32\gxvxcxuhabgdnfylsxmmdjjnwymdntrnsbdpa.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=46666[/url]).
Сделайте новые логи (HijackThis тоже нужен).
Выполнил скрипт. Windows перегрузилась. При загрузке запустился процесс проверки диска "С" - ранее я помечал его на проверку, но после презагрузки проверка не запускалась - видимо из-за деятельности вируса. По окончании проверки загрузка продолжилась, загрузился рабочий стол, через 2 минуты система зависла, пришлось отключать питание системного блока. И так 3 раза.
Загрузился в безопасный режим. Там на всякий случай повторил выполнение скрипта, видимо из-за этого файлы в каратине удвоились. Карантин отослал.
Повторил все логи в безопасном режиме со всеми необходимыми перезагрузками.
Ответьте, пожалуйста.
Хотя бы скажите - имеет смысл ждать ответа?
Если не Ваши настройки, то профиксить:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{619E75EE-753F-4002-B30A-02D928D9C912}: NameServer = 85.255.112.106,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ACC1FCB-F0CC-43C9-A8E2-A2582C349BB7}: NameServer = 85.255.112.106,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{940D985A-C1E8-48FF-AFF6-D4468DEF4F61}: NameServer = 85.255.112.106,85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.106,85.255.112.128
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.106,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.106,85.255.112.128[/CODE]
После этого заново настройте сеть.
В карантине:
npclntax_ZangoSA.dll - not-a-virus:WebToolbar.Win32.Zango.aq
Выполнить скрипт:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\system32\DRIVERS\ehdrv.sys','');
QuarantineFile('C:\WINDOWS\msb.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам
Сделать лог при помощи Gmer.
Пофиксил. Сеть заново перестраивать не пришлось - работает.
Замечания относительно "npclntax_ZangoSA.dll" - не понял.
Скрипт выполнил. Логи повторил в безопасном режиме.
С GMER произошла странная вещь:
Скачал вчера, запустил в безопасном режиме. Он быстренько обнаружил изменение системы, вызванное активностью RootKit, спросил сделать ли полное сканирование системы, ответил "Yes". Сканирование длилось долго, не дождался пошёл спать. Утром обнаружил, что Windows кричит о невозможности сделать отоженную запись, что может быть связано с отказом оборудования (что-то про файл $Mft, $Directory, ещё что-то), а GMER - об обнаруженной активности RootKit. Потом почти всё зависло.
Перегрузил выключением питания. Запустил GMER - появилось окно и сразу началась перезагрузка. Повторил 3 раза, в один из разов запустил CureIt - вирусов не обнаружено.
Потом заново скачал GMER, запустил, он опять выдал то же сообшение об изменении системы и тот же вопрос о полном сканировании, я ответил "No". Лог приложил.
Карантин отправил.
Обычный режим загрузки Windows по прежнему не доступен
Качаем icesword. В нем найти:
system32\drivers\gxvxcpjctttmphpqryxeyxjsaowydoxlngevv.sys и сделать ему forcedelete.
Скачал. При запуске последовательно выдаются 2 сообщения:
"Open device failed, error code 1073741762" и
"Initialize failed"
Программа не запускается
попробуйте взять его вот отсюда:
[url]http://www.megaupload.com/?d=AUGYD37C[/url]
Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.
[CODE]gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcpjctttmphpqryxeyxjsaowydoxlngevv.sys"
gmer -reboot[/CODE]
Это на случай, если снова произойдет осечка. ;)
hockey.pif при запуске повёл себя аналогично. сравнил посредством утилиты fc этот файл с iceword - различий не обнаружено. Забыл упомянуть, что диск "С" - это nvraid на чипсете NForce 4, некоторые Live CD, например TSLiveCD - его не видят.
Скрипт запустил. GMER последовательно отругался, что такой сервис не найден и такой модуль не найден и пошёл на перезагрузку. Вообще-то здесь я тоже не упомянул, что в ожидании ответа побаловался ручками: в окне GMER кликнул мышкой на красной строчке и сначала задизаблил сервис, потом удалил его нафиг.
Собсно, проблема: компьютер виснет при загрузке рабочего стола в обычном режиме. Виснет не сразу, а через 1-2 минуты, когда ешё не всё загрузилось - винчестер там о чём-то шуршит. Что любопытно - если в эту минуту запустить Far - он работает нормально... до тех пор пока не понадобится сменить диск или запустить программу.
Прикольно.
[QUOTE=alex-garad;408752]Прикольно.[/QUOTE]
Мне тоже. :P
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
В логе Gmer чисто.
Ха! Заработало!
Вы будете смеяться, но это был SpiderGuard! Выключая всё подряд из автозапуска, сделал гениальный финт мышкой, нанёс ему смертельный укол, и - вуаля, живём! :094::ok::dance2:
пока...
Спасибо!!!:chmok:
Ничего удивительного: два а/вируса с внутренней защитой всегда себя так ведут.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\!archive\from_c\program files\mozilla firefox\plugins\npclntax_zangosa.dll - [B]not-a-virus:AdTool.Win32.Zango.aq[/B] ( DrWEB: Adware.Zango.83, BitDefender: Adware.Generic.41739 )[/LIST][/LIST]