Показано с 1 по 12 из 12.

Win32/Agent.ODG вирус, очистка невозможна (заявка № 46957)

  1. #1
    Junior Member Репутация
    Регистрация
    01.06.2009
    Адрес
    Санкт-Петербург
    Сообщений
    20
    Вес репутации
    32

    Thumbs up Win32/Agent.ODG вирус, очистка невозможна

    Друг подцепил эту гадость, обнаружил НОДом32. Пытаюсь ему помочь. Вирус сидит в оперативке и никак не лечится.

    Я начал проверку в соответствии с Вашими правилами.
    1. НОД убил пару троянов, нашёл ещё пару следов от уже удалённых вирусов.
    2. Скачал все программы, которые Вы рекомендуете в правилах.
    3. Проверка Kaspersky Virus Removal Tool не показала ничего.
    4. AVZ установил и обновил.
    5. Под HJT создал отдельную папку на раб.столе, но он распаковываться не хочет ни в обычном ни в безопасном режиме. То есть при запуске файла быстро мигают часы и ничего не происходит. Пытался запустить от имени пользователя со снятой защитой от несанкционированных действий программы - тоже самое. Восстановление системы я отключил ещё в самом начале.

    Пока на этом остановился, высылать нечего, что делать дальше?
    Может форматнуть винч будет быстрее и эффективнее? Критически важные файлы с компа уже сохранили.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Yoshimitsu Посмотреть сообщение
    4. AVZ установил и обновил.
    5. Под HJT создал отдельную папку на раб.столе, но он распаковываться не хочет ни в обычном ни в безопасном режиме.
    А сделать логи в AVZ получается? Если нет Тогда скачайте эту версию и делайте логи ею.
    Переименуйте HJT например в 1.cmd и попробуйте запустить так
    The worst foe lies within the self...

  5. #4
    Junior Member Репутация
    Регистрация
    01.06.2009
    Адрес
    Санкт-Петербург
    Сообщений
    20
    Вес репутации
    32

    Логи

    HJT установился после переименования.
    Логи сделал - высылаю.

    К сожалению, из-за активности вируса провайдер отключил друга от сети, так что учтите это при рассмотрении логов.

    И ещё одно (может это и не важно, но лучше напишу): в диспетчере задач постоянно висит "Бездействие системы" с загрузкой ЦП 99%. Этот процесс не может быть завершён, т.к. данная операция не может быть применена к этому процессу.
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}');
     DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DeleteFile('C:\WINDOWS\system32\brastk.exe');
     DeleteFile('karna.dat');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\mvvlib.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Пофиксите в HijackThis:

    O2 - BHO: mvvlibP - {1A6F66F8-04C0-414D-881B-91B2253C5960} - C:\Documents and Settings\All Users.WINDOWS\Application Data\mvvlib.dll (file missing)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - AppInit_DLLs: karna.dat
    4. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    C:\WINDOWS\System32\Drivers\aoqjqzln.SYS - вот этого еще поищите на диске через AVZ. Найдется, пришлите через карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    01.06.2009
    Адрес
    Санкт-Петербург
    Сообщений
    20
    Вес репутации
    32

    Логи 2

    Скрипт AVZ выполнился нормально.
    После перезагрузки мастер нового оборудования предложил поиск текущего и обновлённого ПО на компе, CD или веб-узле windows-update. Я выбрал НЕТ. В диспетчере устройств неизвестное устр-во удалил.

    В новой проверке HJT нашлась только строка О9... , других не было. Пофиксил только её.

    Павел, насчёт файла: сейчас иду к нему - поищу.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    Выполните скрипт в AVZ

    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\TDSSmhxt.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\TDSSmhxt.sys');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин, повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    01.06.2009
    Адрес
    Санкт-Петербург
    Сообщений
    20
    Вес репутации
    32
    Карантин:
    Файл сохранён как 090603_203214_virus_4a26a58e4a49d.zip
    Размер файла 606
    MD5 10a39a3c040b3ddee92a14a735f70eb9

    И логи:
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Жалобы есть?
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8

  12. #11
    Junior Member Репутация
    Регистрация
    01.06.2009
    Адрес
    Санкт-Петербург
    Сообщений
    20
    Вес репутации
    32

    Похоже, вылечили.

    Проверил NODом - злодея в оперативке больше нет!
    Было найдено ещё 4 объекта - все успешно убиты NODом.
    Если логи нужны - могу сбросить после обеда. Ну и в ближайшее время поставлю SP3 и IE8 (да и файрвол какой-нить приличный им тоже не помешает).

    Большое спасибо за Вашу помощь и терпение!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Yoshimitsu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 16.06.2009, 10:31
    2. Ответов: 3
      Последнее сообщение: 08.06.2009, 14:14
    3. Ответов: 2
      Последнее сообщение: 21.04.2009, 12:14
    4. Win32/Agent.ODG вирус, очистка невозможна
      От SerenPsy88 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 12.04.2009, 14:29
    5. Win32/Agent.ODG вирус очистка невозможна
      От Link в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 06.04.2009, 20:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00635 seconds with 17 queries