win32/Rootkit.Agent.ODG.

Printable View

29.06.2009, 23:32
ZabeiNaNick

Вложений: 3

win32/Rootkit.Agent.ODG.

Nod не может удалить.
Скорее всего блокировал Касперского.
Находится в оперативной памяти.
29.06.2009, 23:54
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Q:\autorun.inf','');
QuarantineFile('C:\WINDOWS\TEMP\tempo-6372921.tmp','');
DeleteFile('C:\WINDOWS\TEMP\tempo-6372921.tmp');
DeleteFile('Q:\autorun.inf');
DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Ваш провайдер?
[quote]org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine[/quote]
Если нет, то пофиксить в HiJack
[code] O17 - HKLM\System\CCS\Services\Tcpip\..\{908EE2D7-6EB9-409B-BE8D-06108F6E5BB0}: Name-Server = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{908EE2D7-6EB9-409B-BE8D-06108F6E5BB0}: NameServer = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{908EE2D7-6EB9-409B-BE8D-06108F6E5BB0}: NameServer = 85.255.112.159,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.159,85.255.112.16
[/code]и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить)

Сделайте новые логи + такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
30.06.2009, 03:03
ZabeiNaNick

Вложений: 4

Карантин отослал.
30.06.2009, 08:06
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SKYNETebmpmevo.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETqoirkrgi.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\panemu.SYS','');
QuarantineFile('C:\WINDOWS\runservice.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\MSIVXsngvpxeoewbmkyfmyqbarscdixpxotod.sys','');
QuarantineFile('C:\WINDOWS\system32\MSIVXfdyyqsmwuuhqxwegekfljlcnxyrffbio.dll','');
QuarantineFile('C:\WINDOWS\system32\MSIVXvpwtfxnirbpqpxpnactamrkthpaohnjx.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\MSIVXsngvpxeoewbmkyfmyqbarscdixpxotod.sys');
DeleteFile('C:\WINDOWS\system32\MSIVXfdyyqsmwuuhqxwegekfljlcnxyrffbio.dll');
DeleteFile('C:\WINDOWS\system32\MSIVXvpwtfxnirbpqpxpnactamrkthpaohnjx.dll');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETMKJDHDHL.SYS.del');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETqoirkrgi.sys');
DeleteFileMask('C:\WINDOWS\system32', 'SKYNET*.*', true);
DeleteFileMask('C:\WINDOWS\system32', 'MSIVX*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('MSIVXserv.sys');
BC_DeleteSvc('SKYNETptborswq');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=48937[/url]).

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
[code]
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETptborswq"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETptborswq"
gmer.exe -reboot[/code]
Запустите этот файл.
Компьютер перезагрузится.
Сделайте новый лог gmer.
30.06.2009, 15:37
ZabeiNaNick

Вложений: 1

Вирус удален. Карантин выслал.
30.06.2009, 15:52
Bratez

Чисто.
01.07.2009, 01:09
ZabeiNaNick

Спасибо большое!

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 59 минут[/I][/B][/color][/size]

Обнаружил проблему: после лечения стало невозможно просмотреть состояние подключения,хотя вчера еще работало. При этом интернет работает.
02.07.2009, 01:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\skynetqoirkrgi.sys - [B]Trojan.Win32.Tdss.aiig[/B] ( DrWEB: BackDoor.Tdss.262, BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )[*] c:\windows\system32\skynetebmpmevo.dll - [B]Trojan.Win32.Tdss.aiig[/B][*] c:\windows\temp\tempo-6372921.tmp - [B]Trojan.Win32.FraudPack.pca[/B][/LIST][/LIST]