Win32/Rootkit.Agent.ODG

Printable View

01.07.2009, 09:45
AntonyDream

Вложений: 3

Win32/Rootkit.Agent.ODG

Win32/Rootkit.Agent.ODG сидит в памяти и вешает систему :O
01.07.2009, 10:16
PavelA

Отключить Восстановление системы!!!!
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('M:\Music\Playlists\[Absolute].m3u','');
QuarantineFile('e:\temp\mdxgthkn.sys','');
DeleteService('mdxgthkn');
QuarantineFile('C:\WINDOWS\system32\huadio.tmp','');
DeleteService('huadio');
QuarantineFile('\systemroot\system32\drivers\MSIVXargrrnqmwfvairsjswoyxrspqgdoulvo.sys','');
DeleteFile('\systemroot\system32\drivers\MSIVXargrrnqmwfvairsjswoyxrspqgdoulvo.sys');
BC_DeleteFile('\systemroot\system32\drivers\MSIVXargrrnqmwfvairsjswoyxrspqgdoulvo.sys');
DeleteFile('C:\WINDOWS\system32\huadio.tmp');
DeleteFile('e:\temp\mdxgthkn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать лог Gmer. Как - смотреть в "Чаво". Отмечать только системный диск.
Повторить логи AVZ
Прислать карантин через красную ссылку вверху темы.
01.07.2009, 12:23
AntonyDream

Вложений: 2

Gmer при запуске спрашивает провести ли полный скан и вне зависимости от ответа просто висит, даже окна не видно :O
Или это так и должно быть?
01.07.2009, 12:38
PavelA

Да, проводите полный скан Гмером.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Program Files\CacheBoost\trayicon.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
QuarantineFile('e:\temp\wngaeakj.sys','');
QuarantineFile('C:\WINDOWS\system32\MSIVXsdevtoojlkxxbehyiumjjyceyojunsuu.dll','');
BC_DeleteFile('C:\WINDOWS\system32\MSIVXsdevtoojlkxxbehyiumjjyceyojunsuu.dll');
BC_DeleteSvc('wngaeakj');
DeleteFile('e:\temp\wngaeakj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=49041[/url]
01.07.2009, 13:31
AntonyDream

Вложений: 2

Новые логи.
Карантин новый тоже отправил.
Gmer все ещё сканирует, наверное..
01.07.2009, 14:29
PavelA

CPU_Z.exe_, huadio.tmp_, n.com_, sensiva.dll, wfx.dll, [Absolute].m3u - чистые.
01.07.2009, 14:55
AntonyDream

Будем надеятся что зараза удалилась
Спасибо за помощь :)
01.07.2009, 15:07
PavelA

Еще будем через Гмер убирать остатки.
01.07.2009, 15:14
AntonyDream

Ошметки))
Чего он так долго сканирует? :O
Так, уже не сканирует, просто завис, а окна так и не видно. Похоже что снос ошметков найденых Gmer отменяется.
01.07.2009, 23:18
thyrex

Сделайте лог gmer в безопасном режиме (отмечать только системный диск)
02.07.2009, 23:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]