Win32/Olmarik

Printable View

17.09.2009, 20:46
AsH_SPb

Win32/Olmarik

ESET smart security 4
Модуль сканирования файлов, исполняемых при запуске системы оперативная память Оперативная память Win32/Olmarik троянская программа очистка невозможна
17.09.2009, 20:58
Aleksandra

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

Повторите лог [B]virusinfo_syscheck.[/B]
17.09.2009, 21:23
AsH_SPb

Готово
17.09.2009, 21:35
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5851866346-4338989789-051346748-2458\hdav.exe','');
QuarantineFile('\systemroot\system32\drivers\aliserv3.sys','');
DeleteFile('\systemroot\system32\drivers\aliserv3.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-5851866346-4338989789-051346748-2458\hdav.exe');
DeleteFile('C:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=54999[/url]

3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat[/QUOTE]

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

5. Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=40118[/url]
17.09.2009, 21:45
AsH_SPb

Выполняю, после скрипта и перезагрузки антивирус обнаружил семь атак..
Он включается при загрузке (в любом случае)
Ничего страшного?
17.09.2009, 21:51
Aleksandra

Продолжайте по пунктам. :)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=AsH_SPb;470072]антивирус обнаружил семь атак..[/QUOTE]
Отключите его пока. Он будет только мешать.
17.09.2009, 21:52
AsH_SPb

Дык он будет отключен до перезагрузки, верно? Потом опять заработает
Интернет пусть работает?
17.09.2009, 22:09
Aleksandra

[QUOTE=AsH_SPb;470084]Дык он будет отключен до перезагрузки, верно? Потом опять заработает[/QUOTE]
А Вы опять отключите.

[QUOTE=AsH_SPb;470084]Интернет пусть работает?[/QUOTE]
Да.
22.09.2009, 20:08
AsH_SPb

Наконец..
22.09.2009, 21:42
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\rotscxmbnripym.sys','');
DeleteFile('c:\windows\system32\drivers\rotscxmbnripym.sys');
QuarantineFile('c:\windows\system32\rotscxwvwulqon.dll','');
DeleteFile('c:\windows\system32\rotscxwvwulqon.dll');
QuarantineFile('c:\windows\system32\rotscxbyevspre.dll','');
DeleteFile('c:\windows\system32\rotscxbyevspre.dll');
QuarantineFile('c:\windows\system32\rotscxwxwegvsp.dll','');
DeleteFile('c:\windows\system32\rotscxwxwegvsp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится k38gm5xv.exe (gmer)
[CODE]k38gm5xv.exe -del service rotscxbyuwkmxs
k38gm5xv.exe -del file "c:\windows\system32\drivers\rotscxmbnripym.sys"
k38gm5xv.exe -del file "c:\windows\system32\rotscxwvwulqon.dll"
k38gm5xv.exe -del file "c:\windows\system32\rotscxgvpxetjc.dat"
k38gm5xv.exe -del file "c:\windows\system32\rotscxbyevspre.dll"
k38gm5xv.exe -del file "c:\windows\system32\rotscxfumooxvb.dat"
k38gm5xv.exe -del file "c:\windows\system32\rotscxwxwegvsp.dll"
k38gm5xv.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxbyuwkmxs"
k38gm5xv.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxbyuwkmxs"
k38gm5xv.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
22.09.2009, 22:23
AsH_SPb

при запуске cleanup.bat

An error 0x00000002 occured during the deletion of file: "c:\windows\system32\drivers\rotscxmbnripym.sys": Не найден указанный модуль

Видимо все не найденные модули.....ключ...Перезагрузился, скоро лог..
23.09.2009, 22:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\rotscxbyevspre.dll - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: Trojan.Packed.2788, BitDefender: Trojan.Generic.2372003, AVAST4: Win32:Alureon-CX [Rtk] )[*] c:\windows\system32\rotscxwvwulqon.dll - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: Trojan.Packed.2788, BitDefender: Trojan.Generic.2371860, AVAST4: Win32:Alureon-CX [Rtk] )[/LIST][/LIST]