И снова WIn32/Agent.ODG

[3axap]

Здравствуйте, господа. Гуглил немного и набрел на Вас. Столкнулся с проблемой. В лице вот этого товарища WIn32/Agent.ODG Найден он был в оперативке, программой Нод32 4ой версии. Поглядел соседние топики, там у людей тоже такая же проблема была. Сравнил лекарства - разные. Помогите пожалуйста . И что же это за бяка такая. Вроде как мой первй случай заражения чем либо. До этого стороной обходило.
Заранее благодарен.

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [GEST] =
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS3\Services\Tcpip\..\{6BB48CA7-A5C0-4B18-A209-8B53715552ED}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\gdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cimo.ahc','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=43340).

Добавлено через 1 минуту

P.S. Антивирус Касперского 5.0 деинсталлируйте.

[3axap]

Отправил карантин по ссылочке.

Код:

Файл сохранён как	090407_094523_virus_49dae8738d3b1.zip
Размер файла	33761
MD5	e1f422eb510b2bd709524916d0e338b9

Нод32 попрежнему в оперативной памяти находит все тот же win32/Agent.odg
Снова логи? Они немного отличаются от предыдущих.

Добавлено через 9 минут

kav 5 деинсталлировал.
Можно немножко инфы про этот вирус? В сети по нему прям мизер. Это нечто свежее?

[Bratez]

Файлы в карантине безвредные.
В логах ничего подозрительного.

В AVZ выберите в меню AVZPM -> Установить драйвер...
Перезагрузите компьютер и сделайте заново логи AVZ,
может и всплывет еще что-нибудь.

[3axap]

А может это быть просто пустышкой? Ну или ложной тревогой. Однако фиксить hijackthis что то пришлось.... И в соседних топиках с тойж проблемой были похлжие фиксы hijackthis.

Вот логи с драйвером:

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\gaopdxkippwhooboeyxmdjnbgrqlalbapeosyw.sys','');
 DeleteFile('\systemroot\system32\drivers\gaopdxkippwhooboeyxmdjnbgrqlalbapeosyw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[3axap]

Логи после скрипта. Так же с драйвером.
Карантин - 090407_134929_virus_49db21a9d2abb.zip

[Гриша]

В логах чисто...

[3axap]

Скажите тогда мне... ну для успокоения души. Могу я с этим жить? Ну пожалста

[Bratez]

Зачем - с этим?
Вам это уже вылечили (свежая версия BackDoor.Tdss)!
Или еще проблемы остались?

Добавлено через 4 минуты

Давайте еще пару файликов проверим.
Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\innounp.exe','');
QuarantineFile('C:\RECYCLER\S-6-4-96-100013031-100004330-100009394-1879.com','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

[3axap]

Угу.... проблема осталась. Не успел я выполнить скрип. Сейчас пишу с телефона. Винда в ночь слетела. Сначала упал инет, запустил снова. Через пару минут снова упал - не смог восстановить. Перезагрузился. Появилась только обоина. Диспетчер задач работал, вызвал експлорер.ехе - нет доступа. Провер екзешник через тотал коммандер - ехе мертвый и малого объема. Потыркался попыркался. Чувствую файлы какие запускал мрут (прям как от цыха). Решил восстановиться с бэкапа из хэнди бэкап - не вышло. Перезагрузился - винда в черном экране ввозникает по поводу папки систем 32 и предлагает мне восстановиться через консоль. Вот думаю так и попробовать сделать. Но вирь 100 %где то остался. Форматировать весь виинт нет возможности. Максимум системный диск. Вот и думаю. Может Вы что посоветуете?

[Гриша]

Используйте консоль восстановления...

[3axap]

А на счет того что он мог остаться? Может как то можно предупредить его появление.

[Гриша]

Не знаем, в логах нет, дальше мы не видим...

[3axap]

Спасибо , кстати на счет фaйла innounp.exe. Перед последней фатальной перезагрузкой, видел я рядом с мертвым explorer.exe как раз innounp.exe. Ради любопытсва запустил. Потому что чуял конец. Он запустился и пропал... Инородная вещь скорее всего была.
Спасибо за помощь.

[Гриша]

innounp.exe- нормальный файл...

[Bratez]

C:\RECYCLER\S-6-4-96-100013031-100004330-100009394-1879.com - тоже TDSS.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 16
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-6-4-96-100013031-100004330-100009394-1879.com - Trojan.Win32.TDSS.wtl ( DrWEB: BackDoor.Tdss.119 )
  2. c:\windows\system32\drivers\gaopdxkippwhooboeyxmdj nbgrqlalbapeosyw.sys - Trojan.Win32.Agent2.imv ( DrWEB: BackDoor.Tdss.115 )