при проверке NOD32 выскакивает сообщение о трояне win32/rootkit.agent.odg в оперативной памяти, найти и удалить его пока не получилось.
была бы благодарна вам за помощь.
надеюсь, все приложения оформила правильно.
Спасибо!
Printable View
при проверке NOD32 выскакивает сообщение о трояне win32/rootkit.agent.odg в оперативной памяти, найти и удалить его пока не получилось.
была бы благодарна вам за помощь.
надеюсь, все приложения оформила правильно.
Спасибо!
[B]Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.[/B]
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрволл.[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pr2ajgeb.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ps6ajgeb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pe3ajgeb.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETaowyyuej.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETaowyyuej.sys');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\34714765.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\34714765.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
Лог Gmer по теме из "Чаво" сделайте.
[URL="http://virusinfo.info/showthread.php?t=40118"]Ссылка на эту тему в ЧаВо[/URL]
[QUOTE=gjf;423396]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"][/URL][/QUOTE]
извините, вы не написали какие именно строки отмечать. или все надо?
Извините, это моя ошибка. Ничего в HiJackThis пока не нужно фиксить.
[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]
Скрипт выполнили? Давайте логи, будем работать дальше.
вот...
посмотрите, пожалуйста.
Где логи Gmer'a?
сейчас... он просто так долго проверяет...
вот.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.bat
[CODE]gmer.exe -killall
gmer.exe -del service SKYNETacxxnhtk
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETaowyyuej.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETacxxnhtk"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETacxxnhtk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETacxxnhtk"
gmer.exe -reboot[/CODE]
Система перезагрузится.
Сделайте новый лог gmer.
сделала. но в процессе выполнения выскочило две ошибки. я не запомнила текст, правда....
сейчас сделаю лог.
В Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat"
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Вы - молодец! :)
Ошибки скорее всего было не две, а три, но это нормально, я просто перестраховался в скрипте.
Жду лог.
вот, что получилось.
[QUOTE=gjf;423468]
Ошибки скорее всего было не две, а три, но это нормально, я просто перестраховался в скрипте.
[/QUOTE]
да, возможно. я просто так перепугалась, что могла неправильно посчитать) у лингвистов с математикой туго.
П.С. Нод сейчас работает, больше уведомлений о том трояне не выдает. Может, получилось?
Ничего бояться не нужно - всё будет хорошо. А лингвистам привет от химиков :)
В логах чисто. Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [URL="http://update.microsoft.com]обновления системы Windows[/URL] и используемых программ.
ураааа!!!!!!
большое вам спасибо)
вы гений) я перед компьютерными трабблами тихо пасую, так что для меня такие умения - что-то нереальное)
еще раз спасибо.
Не стоит благодарности :)
Как нас благодарить, я уже сказал. Успехов и не болейте (ни виртуально, ни реально).
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\skynetaowyyuej.sys - [B]Rootkit.Win32.Agent.lxc[/B] ( BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )[/LIST][/LIST]