Win32/Rootkit.Agent.ODG.

Примерно трое суток назад сосед на свой нотбук поймал вирус
Win32/Rootkit.Agent.ODG.
Был обнаружен NOD32 antivirus 4, сидит в оперативке, очистка невозможна.
Диск D стал недоступен, при попытке его открыть система пишет "Диск D в устройстве не отформатирован"
При попытке переустановить Винду пишет что не может найти ни одного диска для установки.
Скачал Dr. Web CureIt и сделал им полную проверку и в безопасном режиме тоже.
Он что-то подчистил. Поставил NOD.
При перезагрузке наличие вируса подтвердилось.
Обращаюсь к вам.
Помогите пожалуйста.
В терминах не силён и прошу как-нибудь доходчевей.
С уважением Василий.
По вашей инструкции собрал данные о системе.
Вроде всё сделал правильно. Не судите строго, но с компом я на Вы.

Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-9340325523-0959167780-008364665-3204\nissan.exe','');
QuarantineFile('\systemroot\system32\drivers\vsfoceoptalkdi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vsfoceoptalkdi.sys','');
DeleteFile('\systemroot\system32\drivers\vsfoceoptalkdi.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-9340325523-0959167780-008364665-3204\nissan.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\vsfoceoptalkdi.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.
+ еще вот такой [URL="http://virusinfo.info/showthread.php?t=40118"]лог[/URL]

При попытке выполнить указанный скрипт пишет
"Ошибка: ')' expected в позиции 9:13"

[QUOTE=VasyaB;441010]
"Ошибка: ')' expected в позиции 9:13"[/QUOTE]Исправлено :)

Спасибо, всё заработало.
По ссылке выслал запрошенный вамы карантин AVZ.
Высылаю новые логи.
После сканирования Gmer (лог которого прикрепил ) он написал, что обнаружил активный Rootkit.
Может надо ещё что-то сделать?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('vsfocebpxusiww');
QuarantineFile('C:\windows\system32\drivers\vsfoceoptalkdi.sys','');
QuarantineFile('C:\windows\system32\vsfoceemxeqmqb.dll','');
QuarantineFile('C:\windows\system32\vsfocefesupqjp.dat','');
QuarantineFile('C:\windows\system32\vsfocewybimxub.dll','');
QuarantineFile('C:\windows\system32\vsfocefdxwhgyp.dat','');
DeleteFile('C:\windows\system32\drivers\vsfoceoptalkdi.sys');
DeleteFile('C:\windows\system32\vsfoceemxeqmqb.dll');
DeleteFile('C:\windows\system32\vsfocefesupqjp.dat');
DeleteFile('C:\windows\system32\vsfocewybimxub.dll');
DeleteFile('C:\windows\system32\vsfocefdxwhgyp.dat');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services','vsfocebpxusiww');
RegKeyParamDel('HKLM','SYSTEM\ControlSet002\Services','vsfocebpxusiww');
DeleteService('vsfocebpxusiww');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('vsfocebpxusiww');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 2,3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

Выслал очередной карантин по ссылке.
Прикрепил новые логи.
AVZ нашел какой-то троян nissan.exe

скопируйте содержимое в блокнот , сохраните как 1.bat , в папке со gmer , запустите
[code]
gmer.exe -del service vsfocebpxusiww
gmer.exe -del file "C:\WINDOWS\system32\drivers\vsfoceoptalkdi.sys"
gmer.exe -del file "C:\WINDOWS\system32\vsfoceemxeqmqb.dll"
gmer.exe -del file "C:\WINDOWS\system32\vsfocefesupqjp.dat"
gmer.exe -del file "C:\WINDOWS\system32\vsfocewybimxub.dll"
gmer.exe -del file "C:\WINDOWS\system32\vsfocefdxwhgyp.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet\Services\vsfocebpxusiww"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfocebpxusiww"
gmer -reboot
[/code]
повторите лог gmer

Выполнил написанный батник.
Высылаю лог Gmer.
Что делать дальше?

В этом логе порядок

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8365523118-6942347721-234933763-3727\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8365523118-6942347721-234933763-3727\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Выполнил скрипт в AVZ.
Незнаю какой именно архив надо было выслать по ссылке вверху темы поэтому выслал два архива.
Прикрепляю новые логи.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Vshelazlklter');
QuarantineFile('Vshelazlklter.sys','');
DeleteFile('Vshelazlklter.sys');
DeleteFile('%systemroot%\system32\drivers\Vshelazlklter.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-8365523118-6942347721-234933763-3727\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Vshelazlklter');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]
Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.

Почему-то при запуске стало автоматически появляться окно
"Мои документы"? Можно его как-нибудь убрать?

[QUOTE=VasyaB;441183]Почему-то при запуске стало автоматически появляться окно
"Мои документы"? Можно его как-нибудь убрать?[/QUOTE]скопируйте содержимое в блокнот:
[CODE]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000[/CODE]

сохраните как 123.reg запустите и разрешите добавить в реестр ..

Спасибо, Мои документы больше не появляются.
Выполнил вышеуказанный скрипт.
Выслал карантин по ссылке и сделал очередный логи.
Жду дальнейших инструкций.

- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-9767382580-6144453777-811367005-0362\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Vshelazlklter');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]
Компьютер перезагрузится.

Сделайте новые логи по п.2 и 3 Диагностики.

Удалил Bonjour.
Прикрепил запрошенные логи.
Что дальше?

Доубираем Bonjour
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end. [/code]

Больше ничего подозрительного. Жалобы есть?

Огромное спасибо.
Не знаю как вас благодарить.
Всё работает как часы, сосед доволен как слон.
:clapping:

В моей подписи написано, как можно нас отблагодарить.