Вирус Olmarik

На машине вдруг появилась подозрительная утилита, маскирующаяся под антивирус, в ходе сканирования памяти ESET Nod указал на Win32/Olmarik.JU
Впринципе похожий случай нашел здесь [url]http://virusinfo.info/showthread.php?t=50846[/url]
Заранее спасибо.

Логи делали с отключенным антивирусом?

Почему после проверки CureIt вы не перезагружались? Или же вы делали логи во время проверки CureIt?

сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL]

Скан делался в безопасном режиме с отключенным антивирусом.
CureIt пытался запустить, но когда нажимал на пуск - вылетал с ошибкой "инструкция обратилась по адресу блаблабла.. память не может быть read"

Прикрепляю лог gmer и syscheck от первой редакции Вашего сообщения.

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\geyekrrrwxyxje.dll','');
QuarantineFile('c:\windows\system32\geyekrtamyjwef.dat','');
QuarantineFile('c:\windows\system32\geyekrkethkdkp.dll','');
QuarantineFile('c:\windows\system32\geyekrbjxvpavf.dat','');
QuarantineFile('c:\windows\system32\drivers\geyekrhfqjpyxu.sys','');
QuarantineFile('c:\windows\system32\DRIVERS\ehdrv.sys','');
DeleteFile('c:\windows\system32\drivers\geyekrhfqjpyxu.sys');
DeleteFile('c:\windows\system32\geyekrbjxvpavf.dat');
DeleteFile('c:\windows\system32\geyekrkethkdkp.dll');
DeleteFile('c:\windows\system32\geyekrtamyjwef.dat');
DeleteFile('c:\windows\system32\geyekrrrwxyxje.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

Сохраните текст ниже как 222.bat в ту же папку, где находится gmer.exe
[CODE]
gmer.exe -del file "c:\windows\system32\drivers\geyekrhfqjpyxu.sys"
gmer.exe -del file "c:\windows\system32\geyekrrrwxyxje.dll"
gmer.exe -del file "c:\windows\system32\geyekrtamyjwef.dat"
gmer.exe -del file "c:\windows\system32\geyekrkethkdkp.dll"
gmer.exe -del file "c:\windows\system32\geyekrbjxvpavf.dat"
gmer.exe -del service geyekrxoiymfvm
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrxoiymfvm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\geyekrxoiymfvm"
gmer.exe -reboot[/CODE]И запустите 222.bat.
Компьютер перезагрузится

Пришлите карантин AVZ согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=51473"]http://virusinfo.info/upload_virus.php?tid=51473[/URL]
Повторите логи, в том числе gmer

Карантин залил. если нужно здесь писать, то имя файла 090806_195821_virus_4a7afd9d15f86.zip

После повторного сканирования AVZ нашёл какой-то другой DLL на который руганулся, прежние вроде удалились, gmer при сканировании "при запуске" больше не нашёл ничего, CureIt смог запуститься.

Сделайте лог AVZ в нормальном режиме.

Сделал.

Жалобы есть?

Жалоб нет. Большое Спасибо =)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\geyekrhfqjpyxu.sys - [B]Trojan.Win32.TDSS.amdm[/B] ( BitDefender: Trojan.Generic.2198359 )[*] c:\windows\system32\geyekrkethkdkp.dll - [B]Trojan.Win32.Agent.crez[/B] ( DrWEB: BackDoor.Tdss.333, BitDefender: Trojan.CryptRedol.Gen.2 )[*] \\?\globalroot\systemroot\system32\geyekrkethkdkp.dll - [B]Trojan.Win32.Agent.crez[/B] ( DrWEB: BackDoor.Tdss.333, BitDefender: Trojan.CryptRedol.Gen.2 )[/LIST][/LIST]