Win32/Rootkit.Agent.ODG

[Mario496]

Блин, помогите

[PavelA]

Профиксить в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{16157949-C266-4017-B378-A2B8D0286B83}: NameServer = 85.255.112.149,85.255.112.214
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A9E13EA-1E30-4B71-BBE2-81FADA1DA7E8}: NameServer = 195.34.32.116 212.188.4.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.149,85.255.112.214
O17 - HKLM\System\CS1\Services\Tcpip\..\{16157949-C266-4017-B378-A2B8D0286B83}: NameServer = 85.255.112.149,85.255.112.214
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.149,85.255.112.214
O17 - HKLM\System\CS2\Services\Tcpip\..\{16157949-C266-4017-B378-A2B8D0286B83}: NameServer = 85.255.112.149,85.255.112.214
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.149,85.255.112.214
O17 - HKLM\System\CS3\Services\Tcpip\..\{16157949-C266-4017-B378-A2B8D0286B83}: NameServer = 85.255.112.149,85.255.112.214
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.149,85.255.112.214

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
 QuarantineFile('\systemroot\system32\drivers\gxvxcdpkbmlewbpfvitexmfamyqvdlloxwees.sys','');
QuarantineFile('C:\WINDOWS\system32\gxvxcxeivpitirfdothwxbopnxxstubwucfqr.dll','');
QuarantineFile('C:\WINDOWS\system32\gxvxcttkqvxuwywigkjhjyednmcrbqjkyvblx.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcdpkbmlewbpfvitexmfamyqvdlloxwees.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxcdpkbmlewbpfvitexmfamyqvdlloxwees.sys');
DeleteFile('C:\WINDOWS\system32\gxvxcttkqvxuwywigkjhjyednmcrbqjkyvblx.dll');
DeleteFile('C:\WINDOWS\system32\gxvxcxeivpitirfdothwxbopnxxstubwucfqr.dll');

 DeleteFile('\systemroot\system32\drivers\gxvxcdpkbmlewbpfvitexmfamyqvdlloxwees.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать лог Gmer.
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=49070

[Mario496]

Сделать лог Gmer.
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=49070

[Numb]

Сделать лог Gmer.
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=49070

как сделать лог GMER.
Логи AVZ и Hijackthis повторите после выполнения скрипта и перезагрузки машины. Карантин AVZ, если будет не пустой, загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=49070 , как написано в прил.3 правил.

[Mario496]

Вот сделал как требовалось

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\drivers\gxvxcdpkbmlewbpfvitexmfamyqvdlloxwees.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcxeivpitirfdothwxbopnxxstubwucfqr.dll"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcttkqvxuwywigkjhjyednmcrbqjkyvblx.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 19
• В ходе лечения вредоносные программы в карантинах не обнаружены