Обнаружен антивирусом ESET Smart Security 4.0.314.0.
"Оперативная память Win32/Rootkit.Agent.ODG троянская программа очистка невозможна".
Что делать с этим гадом?
Printable View
Обнаружен антивирусом ESET Smart Security 4.0.314.0.
"Оперативная память Win32/Rootkit.Agent.ODG троянская программа очистка невозможна".
Что делать с этим гадом?
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\MSIVXwmwxkeexfkjsgikkhxtebbraapyispyx.dll');
DeleteFile('C:\WINDOWS\system32\MSIVXmxmbkwwxftfmnrslgyuoffcfqcvlhdkv.dll');
QuarantineFile('C:\WINDOWS\TEMP\tempo-4076234.tmp','');
QuarantineFile('D:\Program Files\Spyware Process\spydetector.sys','');
QuarantineFile('RoxLiveShare9.sys','');
QuarantineFile('NMIndexingService.sys','');
QuarantineFile('NBService.sys','');
DeleteFile('C:\WINDOWS\TEMP\tempo-4076234.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
такой [url]http://www.gmer.net/[/url] лог сделайте ...
Карантин пуст.Всё делал по инструкции,честное пионерское :).
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - Startup: is-1DDV4.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CBCBCA7-92BC-4A2E-97D1-53089CBD3707}: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\MSIVXcqwvdrvlebmlrqotrrjuyeruvlnriedd.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\MSIVXcqwvdrvlebmlrqotrrjuyeruvlnriedd.sys');
BC_ImportALL;
DeleteFile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
ExecuteSysClean;
BC_DeleteSvc('spydetector');
BC_DeleteSvc('NRKCTL32');
BC_DeleteSvc('LMIRfsClientNP');
BC_DeleteSvc('RoxLiveShare9');
BC_DeleteSvc('NMIndexingService');
BC_DeleteSvc('NBService');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
[code]
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXcqwvdrvlebmlrqotrrjuyeruvlnriedd.sys"
gmer.exe -del file "C:\Windows\system32\MSIVXmxmbkwwxftfmnrslgyuoffcfqcvlhdkv.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXwmwxkeexfkjsgikkhxtebbraapyispyx.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys"
gmer.exe -reboot[/code]
Запустите этот файл.
Компьютер перезагрузится.
Сделайте новые логи (п.2 и 3 раздела Диагностика + лог gmer).
"O4 - Startup: is-1DDV4.lnk = ?" - такого нет.Остальные есть.
Фиксить без него или как?
Да, "фиксите" что есть из этого в HijackThis[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - Startup: is-1DDV4.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CBCBCA7-92BC-4A2E-97D1-53089CBD3707}: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159[/CODE]
И логи сделайте после всех операций (п.2 и 3 раздела Диагностика + лог gmer)
Готово.
В логах чисто.
Рекомендуется установить SP3 и последующие обновления.
Нод надо было отключить, а то похоже он карантин съел.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]