Здравствуйте!
Вирус Win32/Rootkit.Agent.ODG trojan в оперативной памяти.
Заранее огромное спасибо!
Printable View
Здравствуйте!
Вирус Win32/Rootkit.Agent.ODG trojan в оперативной памяти.
Заранее огромное спасибо!
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\4974d0.exe','');
QuarantineFile('\systemroot\system32\drivers\ovfsthknwnlbcdjdxshbdlcbbnprkthyaqnmtn.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\46d0bfaa.sys','');
DeleteFile('\systemroot\system32\drivers\ovfsthknwnlbcdjdxshbdlcbbnprkthyaqnmtn.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rvjhjn.sys');
DeleteFile('C:\WINDOWS\system32\4974d0.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=48723[/url]
3. Повторите логи.
Папка карантин - 2009-06-25 по моему пуста,а сообщение о вирусе при перезагрузке не вышло
1. Выполните [url]http://virusinfo.info/showthread.php?t=43700[/url]
2. Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
+ к предыдущему сообщению
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\qlrmin.sys','');
DeleteService('NdisFileServices32');
DeleteFile('C:\WINDOWS\system32\drivers\qlrmin.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
получилось вот что:
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\46d0bfaa.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\46d0bfaa.sys');
QuarantineFile('C:\WINDOWS\System32\drivers\ovfsthknwnlbcdjdxshbdlcbbnprkthyaqnmtn.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\ovfsthknwnlbcdjdxshbdlcbbnprkthyaqnmtn.sys');
QuarantineFile('C:\WINDOWS\system32\bxnwue.dll','');
DeleteFile('C:\WINDOWS\system32\bxnwue.dll');
QuarantineFile('C:\WINDOWS\system32\ovfsthrqkvdatrdaoxumvhqcoluquqrhweapuk.dll','');
DeleteFile('C:\WINDOWS\system32\ovfsthrqkvdatrdaoxumvhqcoluquqrhweapuk.dll');
QuarantineFile('C:\WINDOWS\system32\ovfsthqvedmbnlcsuxwwrwhhkvpbokuoylvqps.dat','');
DeleteFile('C:\WINDOWS\system32\ovfsthqvedmbnlcsuxwwrwhhkvpbokuoylvqps.dat');
QuarantineFile('C:\WINDOWS\system32\ovfsthtcsqaadpxstfucrjcpgorlfeqotevbxn.dll','');
DeleteFile('C:\WINDOWS\system32\ovfsthtcsqaadpxstfucrjcpgorlfeqotevbxn.dll');
QuarantineFile('C:\WINDOWS\system32\ovfsthsgxexvmjmukqusjypvryfgbeqcntafof.dll','');
DeleteFile('C:\WINDOWS\system32\ovfsthsgxexvmjmukqusjypvryfgbeqcntafof.dll');
QuarantineFile('C:\WINDOWS\system32\ovfsthntgotywawribdgyddibinhuhcbnjffci.dat','');
DeleteFile('C:\WINDOWS\system32\ovfsthntgotywawribdgyddibinhuhcbnjffci.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service 46d0bfaa
gmer.exe -del service grlvdard
gmer.exe -del service ovfsthomivbadfuwtfkilwaocbufpvqfgfpegn
gmer.exe -del file "C:\WINDOWS\System32\drivers\46d0bfaa.sys"
gmer.exe -del file "C:\WINDOWS\System32\drivers\ovfsthknwnlbcdjdxshbdlcbbnprkthyaqnmtn.sys"
gmer.exe -del file "C:\WINDOWS\system32\bxnwue.dll"
gmer.exe -del file "C:\WINDOWS\system32\ovfsthrqkvdatrdaoxumvhqcoluquqrhweapuk.dll"
gmer.exe -del file "C:\WINDOWS\system32\ovfsthqvedmbnlcsuxwwrwhhkvpbokuoylvqps.dat"
gmer.exe -del file "C:\WINDOWS\system32\ovfsthtcsqaadpxstfucrjcpgorlfeqotevbxn.dll"
gmer.exe -del file "C:\WINDOWS\system32\ovfsthsgxexvmjmukqusjypvryfgbeqcntafof.dll"
gmer.exe -del file "C:\WINDOWS\system32\ovfsthntgotywawribdgyddibinhuhcbnjffci.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\46d0bfaa"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\grlvdard"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthomivbadfuwtfkilwaocbufpvqfgfpegn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\grlvdard"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\46d0bfaa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\grlvdard"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ovfsthomivbadfuwtfkilwaocbufpvqfgfpegn"
gmer.exe -reboot[/code]И запустите cleanup.bat
Сделать новые логи + новый лог gmer
Что в папке карантина даже ini-файлов нет?
Добрый вечер!
Файл сохранён как 090626_175424_virus_4a44d310b64cb.zip
Размер файла 5067469
MD5 1d7f53956d476fdecf77c30b2d1ce8f3
А вот логи:
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\46d0bfaa.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('46d0bfaa');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните [url]http://virusinfo.info/showthread.php?t=43700[/url]
4. Повторите лог [B]virusinfo_syscheck.[/B]
вот
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]