Win32/Rootkit.Agent.ODG

Printable View

21.07.2009, 22:38
woron

Вложений: 3

Win32/Rootkit.Agent.ODG

Помогите пожалуйста!!!
ESET NOD32 выдает сообщение:
"Оперативная память Win32/Rootkit.Agent.ODG троянская программа очистка невозможна".
21.07.2009, 22:54
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ESQULsfoewbsiuyfqrdklbxtsvnfvmpvvhehg.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ESQULsfoewbsiuyfqrdklbxtsvnfvmpvvhehg.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Ваш провайдер?
[quote]org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine[/quote]
Если нет, то пофиксить в HiJack
[code] O17 - HKLM\System\CCS\Services\Tcpip\..\{A3EBE5FC-A44C-47C5-8EA0-E3B55335D05B}: Name-Server = 85.255.112.132,85.255.112.188
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.132,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.132,85.255.112.188
[/code]и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить)

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
21.07.2009, 23:37
woron

Скрипт выполнил, карантин закачал:
[HTML]Результат загрузки
Файл сохранён как 090721_232853_virus_4a6616f59ca39.zip
Размер файла 657
MD5 3a016d55c42562d9b817c8cb0ea735e0
Файл закачан, спасибо![/HTML]

У меня провайдер Корбина (Москва), пофиксил в HiJack, перезапустился, Винда постоянно показывает, что "готово обновление" и похоже что-то скачивает...

Необходимо заново сделать AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log + лог Gmer?

ESET показывает:
[HTML]21.07.2009 23:24:32 Защита в режиме реального времени файл C:\WINDOWS\SYSTEM32\ESQULGLWMNKSLMMBWOHBTOPPJQDVECBMQPTTA.DLL Win32/Olmarik.JL троянская программа очищен удалением - изолирован WORON-DESCTOP\woron Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe.[/HTML]
21.07.2009, 23:44
V_Bond

[QUOTE]Необходимо заново сделать AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log + лог Gmer?[/QUOTE]
да
22.07.2009, 08:41
woron

Вложений: 4

Повторные логи...
22.07.2009, 08:51
thyrex

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\drivers\ESQULsfoewbsiuyfqrdklbxtsvnfvmpvvhehg.sys','');
QuarantineFile('c:\windows\system32\ESQULgsqcwwqibitetnmfdiippfumpmwmobsc.dll','');
QuarantineFile('c:\windows\system32\ESQULglwmnkslmmbwohbtoppjqdvecbmqptta.dll','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service ESQULserv.sys
gmer.exe -del file "c:\windows\system32\drivers\ESQULsfoewbsiuyfqrdklbxtsvnfvmpvvhehg.sys"
gmer.exe -del file "c:\windows\system32\ESQULgsqcwwqibitetnmfdiippfumpmwmobsc.dll"
gmer.exe -del file "c:\windows\system32\ESQULglwmnkslmmbwohbtoppjqdvecbmqptta.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ESQULserv.sys"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
22.07.2009, 12:03
woron

Вложений: 2

Видимо ESET все-таки помог и удалил куски, AVZ не смог удалить файлы.
Осталось впечатление, что LiveUpdate что-то качает автоматом, но возможно это только мои страхи.
Огромное спасибо докторам, за ваш труд!!! Хотел-бы вас отблагодарить материально, если есть, опубликуйте электронные кошельки.
22.07.2009, 12:15
thyrex

Если лог gmer после нажатия на [B]Scan[/B], тогда чисто

Пофиксить в HiJack
[CODE]R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)[/CODE]

Сделать новый лог HiJack
23.07.2009, 01:01
woron

Вложений: 2

Вот два свежих лога, похоже что комп здоров...
23.07.2009, 01:08
thyrex

Ве чисто.

Установите Internet Explorer 8
23.07.2009, 08:29
woron

Еще раз огромное спасибо!!!
24.07.2009, 08:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]