Оперативная память - Win32/Rootkit.Agent.ODG

[Infernal_Rain]

При установке Eset Nod32 v4.0.314 им был обнаружена следующая зараза:
оперативная память - Win32/Rootkit.Agent.ODG троянская программа

До этого стоял Eset Nod32 v3 и ничего подобного не находил. Полная проверка системы Нодом, AVPTool ничего не дала.

[AndreyKa]

Отключите антивирус.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcbapmqlvhklvmppwaqjuxjosmpxevxfqh.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxcbapmqlvhklvmppwaqjuxjosmpxevxfqh.sys');
 QuarantineFile('\\?\globalroot\systemroot\system32\gxvxctbhllbabwtxvamnjiyeictosnkrodpbg.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcqqjolotdmumurxlgrhvwigfvjwmijemy.dll','');
 DeleteFile('\\?\globalroot\systemroot\system32\gxvxcqqjolotdmumurxlgrhvwigfvjwmijemy.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\gxvxctbhllbabwtxvamnjiyeictosnkrodpbg.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118

[Infernal_Rain]

Посе выполнения Вашего скрипта и перезагрузки система нашла новое оборудование, но так и не смогла его установить. (что это было?)
NOD при загрузке системы и проверке ОП больше не находит указанный руткит.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\tempo-10459703.tmp','');
 DeleteFile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job);
 DeleteFile('C:\WINDOWS\TEMP\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=50087

3. Повторите лог virusinfo_syscheck.

4. Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

Код:

gmer.exe -del service gxvxcserv.sys 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys"
gmer.exe -reboot

[PavelA]

(что это было?)

Драйвер AVZ

[Infernal_Rain]

После проведенных "операций" в апплете Управление компьютером- Управление дисками появились все установленные в системе диски, а так же флешка.
Для собственного самообразования не могли бы Вы объяснить что это было (я так понимаю руткит установил какую-то свою службу или внедрился в службу диспетчер логических дисков?)

[Aleksandra]

Ничего зловредного в логах нет.

Добавлено через 55 секунд

Посе выполнения Вашего скрипта и перезагрузки система нашла новое оборудование, но так и не смогла его установить. (что это было?)

Проблема с оборудованием еще имеет место?

[Infernal_Rain]

Проблема с оборудованием еще имеет место?

Имеет. В диспетчере устройств так и осталось одно неопознанное устройство (Для устройства не установлены драйверы. (Код 2)

[Aleksandra]

Выполните такой скрипт:

Код:

begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.

Если неизвестное "устройство" опять появится - удалите его в Диспетчере устройств.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены