Win32/Rootkit.Agent.ODG.

**Хромик** · 30.05.2009, 18:58

Примерно сутки назад поймал вирус Win32/Rootkit.Agent.ODG.
Был обнаружен триал-версией NOD32 antivirus 4, сидит в оперативке, очистка невозможна.
После перезагрузки компа, интернетэксплорер отказывался открыватся. После нескольких перезагрузок интернет стал доступен.
Скачал Dr.Web в тестовом режиме и сделала им полную проверку.
Он что-то подчистил. Я его удалил и опять поставил NOD.
При перезагрузке наличие вируса подтвердилось.
По совету знакомого, обращаюсь к вам.
Помогите пожалуйста.
В терминах не силён и прошу как-нибудь доходчего.
С уважением Алексей.
По вашей инструкции собрал данные о системе.
Вроде всё сделал правильно. Не судите строго, но с компом я на Вы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kuzz** · 30.05.2009, 19:06

Карантин уберите!
Если уж присылать - то по красной ссылке вверху этой темы "Прислать запрошенный карантин"

Файл сохранён как 090530_190528_virus_4a214b389a41e.zip
Размер файла 990783
MD5 aa5079cb1eaf09bef82111483ef1de70

**Хромик** · 30.05.2009, 19:14

Если я правильно понял, то "убрать карантин" это включить востановление системы на всех дисках?

**Kuzz** · 30.05.2009, 19:20

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\5699not-5-virus68z.cpl','');
 QuarantineFile('C:\WINDOWS\system32\542cspy5aze898.cpl','');
 QuarantineFile('C:\WINDOWS\13455spazbot5c29.cpl','');
 QuarantineFile('C:\WINDOWS\12a8thzeat35609.cpl','');
 QuarantineFile('C:\WINDOWS\12745tro95z.cpl','');
 QuarantineFile('C:\WINDOWS\12699not-a-vi5us1z6.cpl','');
 QuarantineFile('C:\WINDOWS\11155zirus94f.cpl','');
 QuarantineFile('C:\WINDOWS\system32\Audiodev.dll','');
 QuarantineFile('blocker.dll','');
 QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\NVTcp.sys','');
 QuarantineFile('C:\WINDOWS\system32\nvraidservice.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll','');
 DeleteFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll');
 DeleteFile('C:\WINDOWS\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll');
 DeleteFile('C:\WINDOWS\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll');
 DeleteFile('blocker.dll');
 DeleteFile('C:\WINDOWS\system32\blocker.dll');
DeleteFile('C:\Documents and Settings\Лёшка\Local Settings\Temp\tmp47.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи

Добавлено через 36 секунд

Нет. Это удалить из первого сообщения файл "virus.zip"

**Хромик** · 30.05.2009, 19:42

Скрипт выполнил. Перезагрузился. Файл из первого сообщения удалил. hijackthis.log отправил по ссылке.

Добавлено через 12 минут

virusinfo_syscure и virusinfo_syscheck сделал и выслал

**Kuzz** · 30.05.2009, 19:45

Логи (3 файла: virusinfo_syscure.zip virusinfo_syscheck.zip от AVZ и hijackthis.log от HijackThis) цепляете в своем сообщении, а карантин, полученный после этого:

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
.....
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

загружаете по ссылке вверху

**Хромик** · 30.05.2009, 19:50

"цепляете в своём сообщении" это как?
новый карантин выслал

**Kuzz** · 30.05.2009, 19:50

Как в первом сообщении

**Хромик** · 30.05.2009, 19:54

Понял. Прицепил. Правильно?

**Kuzz** · 30.05.2009, 20:00

Правильно.
А вот карантина вашего я не вижу

Его надо присылать так (только ссылка теперь красная)

**Хромик** · 30.05.2009, 20:01

немного запутался
только-что отослал и прицепил к сообщению выше
извините, если что не так

**Kuzz** · 30.05.2009, 20:05

Лог HijackThis тоже нужен!

Просто там должны быть очень подозрительные файлы.

Кстати у Вас виден работающий DrWeb и Вы упоминали ESET v4
Должен быть только один.

**Хромик** · 30.05.2009, 20:14

NOD удалён на сей момент
а Web-ом я пользовался по вашей инструкции
И, если я не ошибаюсь, то он тоже не работает.

Добавлено через 4 минуты

**Kuzz** · 30.05.2009, 20:15

Приложение 3. Как прислать запрошенные файлы.

1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте те файлы, которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.
4. Загрузите полученный архив, используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически)

Так

**Хромик** · 30.05.2009, 20:18

Вроде правильно сделал. Отправил.

**Kuzz** · 30.05.2009, 20:19

Получилось.

Теперь ждем ответ аналитиков.
Как только он придет, Вам будут выданы соответствующие рекомендации

**Хромик** · 31.05.2009, 01:31

Спасибо огромное-приогромное. Буду ждать ответа аналитиков.

Добавлено через 5 часов 8 минут

Ну, не дождался сегодня рекомендаций. Пошел спать, да сил набирать.
Утром зайду, посмотрю.
Еще раз огромное спасибо.
И еще. Я так понимаю, пока антивирусник ставить не надо? Может и еще раз придётся пройдти все пункты проверки.
Только после того, как аналитики подтвердят удаление угрозы, можно будет вернуть NOD на место и вернуть востановление системы на всех дисках?

**AndreyKa** · 31.05.2009, 13:55

Пофиксте в HijackThis следующие строки:

O17 - HKLM\System\CCS\Services\Tcpip\..\{24C156E7-AD83-4343-ABE8-CD1F34C93BD4}: NameServer = 85.255.112.178,85.255.112.99
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.178,85.255.112.99
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.178,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.178,85.255.112.99

Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZPMStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 DeleteFile('C:\WINDOWS\11155zirus94f.cpl');
 DeleteFile('C:\WINDOWS\12699not-a-vi5us1z6.cpl');
 DeleteFile('C:\WINDOWS\12745tro95z.cpl');
 DeleteFile('C:\WINDOWS\12a8thzeat35609.cpl');
 DeleteFile('C:\WINDOWS\13455spazbot5c29.cpl');
 DeleteFile('C:\WINDOWS\13c9virz155.cpl');
 DeleteFile('C:\WINDOWS\15609parsz1954.cpl');
 DeleteFile('C:\WINDOWS\1577threzt239899.cpl');
 DeleteFile('C:\WINDOWS\16z90spy745.cpl');
 DeleteFile('C:\WINDOWS\1755vir95z.cpl');
 DeleteFile('C:\WINDOWS\18095vir9s5z9.cpl');
 DeleteFile('C:\WINDOWS\1dac5zdware15889.cpl');
 DeleteFile('C:\WINDOWS\1z49s5yware14649.cpl');
 DeleteFile('C:\WINDOWS\1z4aspa5s9581.cpl');
 DeleteFile('C:\WINDOWS\20f29ow5zoader3101.cpl');
 DeleteFile('C:\WINDOWS\24771nzt-a5virus9a6.cpl');
 DeleteFile('C:\WINDOWS\25z3vir9540.cpl');
 DeleteFile('C:\WINDOWS\26vi59sz59.cpl');
 DeleteFile('C:\WINDOWS\27939iruzc65.cpl');
 DeleteFile('C:\WINDOWS\28755zot-a9vir5s38b.cpl');
 DeleteFile('C:\WINDOWS\2b8es59rsz960.cpl');
 DeleteFile('C:\WINDOWS\2c61downloaz5r592.cpl');
 DeleteFile('C:\WINDOWS\2z92spa5bot7f1.cpl');
 DeleteFile('C:\WINDOWS\30z54virus90.cpl');
 DeleteFile('C:\WINDOWS\3197downl5ader925z.cpl');
 DeleteFile('C:\WINDOWS\32994troj7z5.cpl');
 DeleteFile('C:\WINDOWS\3969vzr9s56f.cpl');
 DeleteFile('C:\WINDOWS\396zs5a9se2142.cpl');
 DeleteFile('C:\WINDOWS\397fsparse2975z.cpl');
 DeleteFile('C:\WINDOWS\398bspywzre2855.cpl');
 DeleteFile('C:\WINDOWS\4359szarse1970.cpl');
 DeleteFile('C:\WINDOWS\444a95ezl397.cpl');
 DeleteFile('C:\WINDOWS\445dvirz189.cpl');
 DeleteFile('C:\WINDOWS\445e5pa9se11z9.cpl');
 DeleteFile('C:\WINDOWS\44ebad5warez973.cpl');
 DeleteFile('C:\WINDOWS\4553zpy9are2649.cpl');
 DeleteFile('C:\WINDOWS\4557spa9s5z592.cpl');
 DeleteFile('C:\WINDOWS\4627tr5j9dz.cpl');
 DeleteFile('C:\WINDOWS\4989addwzre11375.cpl');
 DeleteFile('C:\WINDOWS\4zd4b59kdoor2468.cpl');
 DeleteFile('C:\WINDOWS\5239back5oor172z.cpl');
 DeleteFile('C:\WINDOWS\55z99pyware16385.cpl');
 DeleteFile('C:\WINDOWS\5996addwar5z199.cpl');
 DeleteFile('C:\WINDOWS\59e8backdozr5928.cpl');
 DeleteFile('C:\WINDOWS\5abc95ief81z.cpl');
 DeleteFile('C:\WINDOWS\5c19zhief9889.cpl');
 DeleteFile('C:\WINDOWS\5e47z9ywa5e2156.cpl');
 DeleteFile('C:\WINDOWS\60b9zhief1715.cpl');
 DeleteFile('C:\WINDOWS\62z8s9arse5318.cpl');
 DeleteFile('C:\WINDOWS\69zesteal22025.cpl');
 DeleteFile('C:\WINDOWS\6d5abackd5or19z.cpl');
 DeleteFile('C:\WINDOWS\7089zc5door396.cpl');
 DeleteFile('C:\WINDOWS\7145s9ywarz2854.cpl');
 DeleteFile('C:\WINDOWS\7717backdzor5390.cpl');
 DeleteFile('C:\WINDOWS\7d96ste9z509.cpl');
 DeleteFile('C:\WINDOWS\91314zpy15a5.cpl');
 DeleteFile('C:\WINDOWS\92270not-a5virusz0.cpl');
 DeleteFile('C:\WINDOWS\94509sz5740.cpl');
 DeleteFile('C:\WINDOWS\9764s9z6a95.cpl');
 DeleteFile('C:\WINDOWS\97e6addwaze16115.cpl');
 DeleteFile('C:\WINDOWS\9959h9cktoolz4b.cpl');
 DeleteFile('C:\WINDOWS\9b4vir5z80.cpl');
 DeleteFile('C:\WINDOWS\9e7faddwzre550.cpl');
 DeleteFile('C:\WINDOWS\bd35pyw9rez908.cpl');
 DeleteFile('C:\WINDOWS\f03tzief14905.cpl');
 DeleteFile('C:\WINDOWS\z23319i5us595.cpl');
 DeleteFile('C:\WINDOWS\zba9add59re1538.cpl');
 DeleteFile('C:\WINDOWS\system32\109z9tro9565.cpl');
 DeleteFile('C:\WINDOWS\system32\12057v9zus4a0.cpl');
 DeleteFile('C:\WINDOWS\system32\12539irz069.cpl');
 DeleteFile('C:\WINDOWS\system32\136z9vir5s3e9.cpl');
 DeleteFile('C:\WINDOWS\system32\13z83h9cktoo5768.cpl');
 DeleteFile('C:\WINDOWS\system32\14696spy94z5.cpl');
 DeleteFile('C:\WINDOWS\system32\1532znot-a9virus169.cpl');
 DeleteFile('C:\WINDOWS\system32\1546sp5zse3296.cpl');
 DeleteFile('C:\WINDOWS\system32\15568v9ru5z47.cpl');
 DeleteFile('C:\WINDOWS\system32\15979sp5mzot98d.cpl');
 DeleteFile('C:\WINDOWS\system32\16518sp95botz8e.cpl');
 DeleteFile('C:\WINDOWS\system32\189429pamzo57cf.cpl');
 DeleteFile('C:\WINDOWS\system32\19107tro5z22.cpl');
 DeleteFile('C:\WINDOWS\system32\194dad5zar92172.cpl');
 DeleteFile('C:\WINDOWS\system32\1cedzi52907.cpl');
 DeleteFile('C:\WINDOWS\system32\1f965ackdzor2764.cpl');
 DeleteFile('C:\WINDOWS\system32\1z912spa5b9t594.cpl');
 DeleteFile('C:\WINDOWS\system32\1zbed5wnlo9der1905.cpl');
 DeleteFile('C:\WINDOWS\system32\2089ztr95444.cpl');
 DeleteFile('C:\WINDOWS\system32\221625zy4959.cpl');
 DeleteFile('C:\WINDOWS\system32\22556v9rus6z5.cpl');
 DeleteFile('C:\WINDOWS\system32\23158sp9m5otza.cpl');
 DeleteFile('C:\WINDOWS\system32\23245spam9otz8.cpl');
 DeleteFile('C:\WINDOWS\system32\246z19p5mbot82.cpl');
 DeleteFile('C:\WINDOWS\system32\27308sp9mbz5254.cpl');
 DeleteFile('C:\WINDOWS\system32\2596spar9e581z.cpl');
 DeleteFile('C:\WINDOWS\system32\27z9not-a-5irus50a.cpl');
 DeleteFile('C:\WINDOWS\system32\2919th5ez1859.cpl');
 DeleteFile('C:\WINDOWS\system32\2931spyw5rz1376.cpl');
 DeleteFile('C:\WINDOWS\system32\2989tz5ef224.cpl');
 DeleteFile('C:\WINDOWS\system32\29926n9t-a-virzs2c5.cpl');
 DeleteFile('C:\WINDOWS\system32\2c55doznlo9der1033.cpl');
 DeleteFile('C:\WINDOWS\system32\3095859y131z.cpl');
 DeleteFile('C:\WINDOWS\system32\31z485orm499.cpl');
 DeleteFile('C:\WINDOWS\system32\3b5caddwa9ez826.cpl');
 DeleteFile('C:\WINDOWS\system32\3ea75ownlo9dez758.cpl');
 DeleteFile('C:\WINDOWS\system32\3z41thief3956.cpl');
 DeleteFile('C:\WINDOWS\system32\443ev5r1979z.cpl');
 DeleteFile('C:\WINDOWS\system32\4688s9ealz5035.cpl');
 DeleteFile('C:\WINDOWS\system32\4b2b9ackdzor565.cpl');
 DeleteFile('C:\WINDOWS\system32\542cspy5aze898.cpl');
 DeleteFile('C:\WINDOWS\system32\5699not-5-virus68z.cpl');
 DeleteFile('C:\WINDOWS\system32\5893thr5at69z5.cpl');
 DeleteFile('C:\WINDOWS\system32\5952addwaze5895.cpl');
 DeleteFile('C:\WINDOWS\system32\5bbfthre5t927z.cpl');
 DeleteFile('C:\WINDOWS\system32\5c995ackdooz1175.cpl');
 DeleteFile('C:\WINDOWS\system32\5f1eb5c9doorz8.cpl');
 DeleteFile('C:\WINDOWS\system32\5f4ezackdoor1992.cpl');
 DeleteFile('C:\WINDOWS\system32\6279zir535.cpl');
 DeleteFile('C:\WINDOWS\system32\645aspywa9ez354.cpl');
 DeleteFile('C:\WINDOWS\system32\68a59hizf1958.cpl');
 DeleteFile('C:\WINDOWS\system32\6ddfz9ief25965.cpl');
 DeleteFile('C:\WINDOWS\system32\6dfav9r50z1.cpl');
 DeleteFile('C:\WINDOWS\system32\7112spyw59e2437z.cpl');
 DeleteFile('C:\WINDOWS\system32\7516worz94d.cpl');
 DeleteFile('C:\WINDOWS\system32\7567addwzre5909.cpl');
 DeleteFile('C:\WINDOWS\system32\7593threzt19583.cpl');
 DeleteFile('C:\WINDOWS\system32\7856szywar913875.cpl');
 DeleteFile('C:\WINDOWS\system32\765fthzef29275.cpl');
 DeleteFile('C:\WINDOWS\system32\7911spazbot9b5.cpl');
 DeleteFile('C:\WINDOWS\system32\89589irus2f6z.cpl');
 DeleteFile('C:\WINDOWS\system32\8285vir9s526z.cpl');
 DeleteFile('C:\WINDOWS\system32\918evir55z5.cpl');
 DeleteFile('C:\WINDOWS\system32\9523virz61.cpl');
 DeleteFile('C:\WINDOWS\system32\96baddwar5z590.cpl');
 DeleteFile('C:\WINDOWS\system32\9856tzie51221.cpl');
 DeleteFile('C:\WINDOWS\system32\999virzs95.cpl');
 DeleteFile('C:\WINDOWS\system32\99dzdownloader485.cpl');
 DeleteFile('C:\WINDOWS\system32\f5cspyware269z.cpl');
 DeleteFile('C:\WINDOWS\system32\z0c09ackdoor665.cpl');
 DeleteFile('C:\WINDOWS\system32\z249not-5-9irus244.cpl');
 DeleteFile('C:\WINDOWS\system32\z397vi9us546.cpl');
 DeleteFile('C:\WINDOWS\system32\z4155wor9725.cpl');
 DeleteFile('C:\WINDOWS\system32\z5791troj5f2.cpl');
 DeleteFile('C:\WINDOWS\system32\z9077hackt5ol747.cpl');
 DeleteFile('C:\WINDOWS\system32\z957threat1509.cpl');
 DeleteFile('C:\WINDOWS\system32\z9a6down5oader1460.cpl');
RebootWindows(true);
end.

Компьютер перезагрузится.

Обновите базы AVZ.
Сделайте новые логи и приложите к этой теме.

Установите Adobe Acrobat Reader 9.1 или удалите старый.

**Хромик** · 01.06.2009, 00:58

Спасибо за ответ.
Извине, что поздно. Знакомого в травму возил. День города хорошо отметил

Повредил ногу.

Скрипт выполнил. Компьютер перезагрузился.
Adobe Acrobat Reader удалил. Потом поищу новый или вообще ставить не буду.
Обновил базы AVZ. Скрипты выполнил и приложил к сообщению.
Карантин высылать?

**AndreyKa** · 01.06.2009, 01:06

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys','');
QuarantineFile('\SystemRoot\system32\DRIVERS\nvcap.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys');
 QuarantineFile('\systemroot\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys','');
 QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll','');
 DeleteFile('\\?\globalroot\systemroot\system32\gxvxcfvdsrclsnthklxewuoiydxqlqjfdphry.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\gxvxcvgqmfooqxhiakvpjlfhtlgwrutnpjexe.dll');
 DeleteFile('\systemroot\system32\drivers\gxvxcrrfuyridwkmppauwkbxxtkbpxeuyyocq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Win32/Rootkit.Agent.ODG. (заявка № 46864)

Опции темы

Win32/Rootkit.Agent.ODG.

Похожие темы

Притомаживает комп. При проверке нашлись Win32:Agent-YHH, Win32:Zbot-OE, Win32:Rootkit-gen, Win32:Trojan-gen

Как избавиться от Win32/Wigon.Z, Win32/Rootkit.Agent.NDF, Win32/Rootkit.Agent.DP

Win32/Rootkit.Agent.NDF, Win32/Wigon.Z, Win32/Rootkit.Agent.HU и другие

Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl

Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX

Ваши права в разделе