Добрый день.
Словил такой вирус. Win32/Rootkit.Agent.ODG
Сидит в оперативной памяти. Удаление невозможно
При этом не работает CureIt.
Обнаруживает триальный Nod32 и AVP.
Printable View
Добрый день.
Словил такой вирус. Win32/Rootkit.Agent.ODG
Сидит в оперативной памяти. Удаление невозможно
При этом не работает CureIt.
Обнаруживает триальный Nod32 и AVP.
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dll.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\geyekruerfusbh.dll','');
QuarantineFile('C:\WINDOWS\system32\alil.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys');
DeleteFile('C:\WINDOWS\system32\alil.dll');
DeleteFile('C:\WINDOWS\system32\geyekruerfusbh.dll');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=50566[/url]).
Сделайте новые логи.
Дополнительно сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Вот сделал все логи как Вы просили!
Файл сохранён как090724_085735_virus_4a693f3fecc46.zipРазмер файла1454MD534c47865644363b219cb9f961bbc40f9
Выполните скрипт в AVZ
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('LMIRfsClientNP.sys','');
QuarantineFile('c:\windows\system32\geyekrftlixjix.dat','');
QuarantineFile('C:\WINDOWS\system32\kvtuy.dll','');
QuarantineFile('c:\windows\system32\drivers\geyekraxtmpfum.sys','');
QuarantineFile('c:\windows\system32\geyekrpcfmsquy.dat','');
QuarantineFile('c:\windows\system32\geyekrrekeppbf.dll','');
DeleteFile('c:\windows\system32\geyekrrekeppbf.dll');
DeleteFile('c:\windows\system32\geyekrpcfmsquy.dat');
DeleteFile('c:\windows\system32\geyekrftlixjix.dat');
DeleteFile('C:\WINDOWS\system32\kvtuy.dll');
DeleteFile('c:\windows\system32\drivers\geyekraxtmpfum.sys');
DeleteFile('LMIRfsClientNP.sys');
BC_Importall;
BC_DeleteSvc('LMIRfsClientNP');
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service geyekrviljssbm
gmer.exe -del service hhogno
gmer.exe -del file "c:\windows\system32\drivers\geyekraxtmpfum.sys"
gmer.exe -del file "c:\windows\system32\geyekrrekeppbf.dll"
gmer.exe -del file "c:\windows\system32\geyekrpcfmsquy.dat"
gmer.exe -del file "c:\windows\system32\geyekruerfusbh.dll"
gmer.exe -del file "c:\windows\system32\geyekrftlixjix.dat"
gmer.exe -del file "C:\WINDOWS\system32\kvtuy.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrviljssbm"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hhogno"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\geyekrviljssbm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hhogno"
gmer.exe -reboot[/CODE]Запустите cleanup.bat.
Компьютер перезагрузится.
Пришлите карантин AVZ, как писалось ранее.
Повторите логи AVZ, gmer
Gmer может заругаться, не обращайте на это внимание.
Всё сделал!
Файл сохранён как090724_122921_virus_4a6970e16850d.zipРазмер файла72437MD5282bfa9111b0500ae034571be7341cbe
Только уж больно долго gmer выполняется.
В логах чисто. Желательно обновить:
Platform: Windows XP SP2 (WinNT 5.01.2600)
Да всё заработало!
Всем спасибо кто отозвался.
CureIT тоже заработал. Им ещё раз прогнал всё чисто.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\geyekrrekeppbf.dll - [B]Backdoor.Win32.Neakse.bew[/B] ( DrWEB: BackDoor.Tdss.320, BitDefender: Trojan.CryptRedol.Gen.3 )[/LIST][/LIST]