Здравствуйте!
Nod32 при проверке постоянно выдаёт, что в оперативной памяти завёлся win32/Rootkit.Agent.ODG и не может его удалить. Я тоже пробовал его найти и удалить вручную, но всё тщетно. Помогите пожалуйста!
Printable View
Здравствуйте!
Nod32 при проверке постоянно выдаёт, что в оперативной памяти завёлся win32/Rootkit.Agent.ODG и не может его удалить. Я тоже пробовал его найти и удалить вручную, но всё тщетно. Помогите пожалуйста!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49292[/url]).
Сделайте новый лог syscheck (п.2 раздела Диагностика) и [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Вот карантин:
Файл сохранён как 090704_193102_virus_4a4f75b6ee85d.zip
Размер файла 590
MD5 a5bdcc125db48887d45c0c7a44bb309c
Пофиксите в HijackThis:
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE55512-8E4C-48E3-8BDC-3A11FB6A3614}: NameServer = 85.255.115.45,85.255.112.144
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A252C32-C801-45DD-809B-21328F134E64}: NameServer = 85.255.115.45,85.255.112.144
O17 - HKLM\System\CCS\Services\Tcpip\..\{A320FF49-EE5A-4E19-82AD-AEC462B0C02E}: NameServer = 85.255.115.45,85.255.112.144
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B5DE39-B83E-4BA6-A2EC-FB056F4C5966}: NameServer = 85.255.115.45,85.255.112.144
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{0ACF6FA1-B804-4A63-970F-3D926FC2BAEB}: NameServer = 85.255.115.45,85.255.112.144
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{0ACF6FA1-B804-4A63-970F-3D926FC2BAEB}: NameServer = 85.255.115.45,85.255.112.144
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETtbqhppxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxbccvyqjl.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kungsfalkdwkra.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kungsfalkdwkra.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxbccvyqjl.sys');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETtbqhppxx.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Повторите логи п.2 и 3 раздела Диагностика + лог gmer.
Всё сделано!
Вот карантин:
Файл сохранён как 090705_160348_virus_4a5096a4cfb61.zip
Размер файла 75217
MD5 109721c78ab917267fb919cffed78a54
Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
[code]
gmer.exe -del service gaopdxserv.sys
gmer.exe -del service kungsfaemyliqf
gmer.exe -del service SKYNETvnyrtqit
gmer.exe -del file "C:\WINDOWS\system32\drivers\gaopdxbccvyqjl.sys"
gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfalkdwkra.sys"
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETtbqhppxx.sys"
gmer.exe -reboot[/code]
Запустите этот файл.
Компьютер перезагрузится.
Сделайте новый лог gmer и HijackThis.
Готово!
Сканирование Nod32 показало, что этого вируса больше нет.
Спасибо, Вам, огромное!!!
Вот это еще пофиксите в HijackThis:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B5DE39-B83E-4BA6-A2EC-FB056F4C5966}: NameServer = 85.255.115.45,85.255.112.144[/CODE]
В остальном чисто.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\gaopdxbccvyqjl.sys - [B]Rootkit.Win32.TDSS.r[/B] ( DrWEB: BackDoor.Tdss.73, BitDefender: Gen:Trojan.Heur.TDSS.401CE3D3D3 )[/LIST][/LIST]