win32/Olmarik

Добрый вечер
При загрузке nod обнаруживает, в оперативной памяти, троян Olmarik, но не может его удалить("очистка невозможна")

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\RECYCLER\S-1-5-21-5245333636-8912301440-264624505-0642\hdav.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5245333636-8912301440-264624505-0642\hdav.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ЫуеAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]

сделал

сохраните содержимое в блокноте как 1.bat , pfgecnbnt
[code]
7y7omwqq.exe -del service rotscxrfvxvith
7y7omwqq.exe -del file "C:\WINDOWS\system32\drivers\rotscxxtexnked.sys"
7y7omwqq.exe -del file "C:\WINDOWS\system32\gxvxctaivkytkucukyomeoonmdqruufytgjig.dll"
7y7omwqq.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6F9007F6-B3AE-2D0F-2902-87BB4E28C802} "
7y7omwqq.exe -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C57059DC-8067-502E-E1DC-D23AF8C3C507}"
7y7omwqq.exe -reboot
[/code]
повторите логи

выдало ошибки

Такое возможно. Выполняйте совет [B]V_Bond[/B]. Лог gmer, который выкладывали, был сделан после нажатия на Scan?

При запуске гмер сам обнаружил руткит и предложил просканировать, я согласился

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

сейчас гмер два раза вешал систему приходилось ребутнуться...

готово

кто-нибудь скажет что-нибудь?)
не было день, включил сегодня и ашалел, теперь при запуске синий экран и требуют смс) видимо Olmarik подсобил (Win32/Olmarik is a typical trojan virus designed to download and install malware or spyware onto compromised PCs).
опять запустил в безопасном режиме cureit, посмотрим что выдаст

[size="1"][color="#666686"][B][I]Добавлено через 52 минуты[/I][/B][/color][/size]

скан cureitом ничего не дал

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 50 минут[/I][/B][/color][/size]

кто-нибудь подскажет что делать?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\rotscxxtexnked.sys','');
DeleteFile('c:\windows\system32\drivers\rotscxxtexnked.sys');
QuarantineFile('c:\windows\system32\rotscxevpesmjn.dll','');
DeleteFile('c:\windows\system32\rotscxevpesmjn.dll');
QuarantineFile('c:\windows\system32\rotscxnpcvniuo.dll','');
DeleteFile('c:\windows\system32\rotscxnpcvniuo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 7y7omwqq.exe (gmer)
[CODE]7y7omwqq.exe -del service rotscxrfvxvith
7y7omwqq.exe -del file "c:\windows\system32\drivers\rotscxxtexnked.sys"
7y7omwqq.exe -del file "c:\windows\system32\rotscxevpesmjn.dll"
7y7omwqq.exe -del file "c:\windows\system32\rotscxtixgexol.dat"
7y7omwqq.exe -del file "c:\windows\system32\rotscxnpcvniuo.dll"
7y7omwqq.exe -del file "c:\windows\system32\rotscxxbfjwsfa.dat"
7y7omwqq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxrfvxvith"
7y7omwqq.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxrfvxvith"
7y7omwqq.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]