Rootkit.Agent.ODG

**Vitizan** · 11.06.2009, 16:53

Добрый день. Помогите пожалуйста удалить трояна.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 11.06.2009, 17:05

Сначала выполним правила http://virusinfo.info/showthread.php?t=1235
Затем будет полный рецепт

**Vitizan** · 11.06.2009, 18:35

Извините, не нашел прежнюю нашу переписку. Не понятно куда идти на сайте. Пишу новое сообщение. Все прочитал и сделал как сказано. Спасибо за помощь

**Kuzz** · 11.06.2009, 18:45

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\hiber_WMILIB.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\lgsnd_filter.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisipo.sys','');
 QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\nxkagakj.sys','');
 QuarantineFile('C:\WINDOWS\system32\dll.dll','');
 QuarantineFile('C:\WINDOWS\system\lgprhook.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\tempo-34796140.tmp','');
 QuarantineFile('C:\WINDOWS\system32\system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll','');
 QuarantineFile('C:\WINDOWS\system32\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll','');
 TerminateProcessByName('c:\windows\temp\tempo-34796140.tmp');
 QuarantineFile('c:\windows\temp\tempo-34796140.tmp','');
 DeleteFile('c:\windows\temp\tempo-34796140.tmp');
 DeleteFile('C:\WINDOWS\system32\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll');
 DeleteFile('C:\WINDOWS\system32\system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll');
 DeleteFile('C:\WINDOWS\TEMP\tempo-34796140.tmp');
 DeleteFile('C:\WINDOWS\system32\dll.dll');
 DeleteFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\nxkagakj.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи

**Vitizan** · 11.06.2009, 19:33

Все сделал как было приказано. Спасибо

**Kuzz** · 11.06.2009, 19:46

И еще раз:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\tempo-183312.tmp','');
 TerminateProcessByName('c:\windows\temp\tempo-183312.tmp');
 QuarantineFile('c:\windows\temp\tempo-183312.tmp','');
 DeleteFile('c:\windows\temp\tempo-183312.tmp');
 DeleteFile('C:\WINDOWS\TEMP\tempo-183312.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{301AFFE3-BABC-41CA-B34D-F9803E0178EE}: NameServer = 85.255.112.183,85.255.112.204
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.183,85.255.112.204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.183,85.255.112.204

3. и опять новые логи

Добавлено через 6 минут

И потом еще один:

Код:

begin
 DeleteFile('c:\RECYCLER\S-4-0-19-100026453-100006562-100006422-9474.com');
 DeleteFile('C:\autorun.inf');
ExecuteSysClean;
end.

**Vitizan** · 11.06.2009, 20:17

Готово

**thyrex** · 11.06.2009, 20:40

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dll.dll','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\TEMP\tempo-447265.tmp','');
 DeleteFile('C:\WINDOWS\TEMP\tempo-447265.tmp');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\dll.dll');
DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
DeleteFileMask('C:\WINDOWS\TEMP', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделать логи AVZ + еще раз сделать лог gmer

**Vitizan** · 12.06.2009, 09:25

Добрый день,

в оперативке вируса не показывает. высылаю вчера запрошеные файлы

**thyrex** · 12.06.2009, 09:50

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('SYMIDSCO');
 DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys');
ExecuteSysClean;
RebootWindows(false);
end.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll"
gmer.exe -del file "system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys"
gmer -reboot

И запустите cleanup.bat

Сделать новый лог gmer и лог HiJack

**Vitizan** · 12.06.2009, 18:24

Скрипт выполнил и бат выполнил.

**thyrex** · 13.06.2009, 11:32

Повторите еще раз выполнение скрипта для gmer
На время его выполнения отключите антивирус

Сделайте после этого новый лог gmer

**Vitizan** · 14.06.2009, 18:10

антивир отключил в taskmanager.
internet отключил
скрипт gmer запустил неск раз
служба не убивается

**thyrex** · 14.06.2009, 19:44

Скачайте IceSword
Распакуйте в отдельную папку и запустите.
В нижнем левом углу нажмите Files. Появится аналог проводника
Найдите файлы

Код:

 C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys
C:\WINDOWS\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll
C:\WINDOWS\system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll

Затем правой кнопкой мыши - force delete каждому

Выберите Registry. Найти и удалить ветви реестра

Код:

 HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys

**Vitizan** · 16.06.2009, 19:06

Ребята, СПАСИБО, вы класс. Вроде вируса не обнаружил. Но не обнаружил что бы убить
"C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodst yetrtjndjqskspgi.sys"
Спасибо еще раз. Я счастлив.

**pig** · 16.06.2009, 19:31

Повторите логи.

**Vitizan** · 21.06.2009, 11:05

Добрый день,

Высылаю логи. Как и должен был.

**thyrex** · 21.06.2009, 12:07

Лог gmer чист

Ваш провайдер?

org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine

Если нет, то пофиксить в HiJack

Код:

 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.137,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.137,85.255.112.100

и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить)

Сделайте новый лог HiJack

**Vitizan** · 22.06.2009, 09:17

Провайдер: Уралсвязьинформ (U-tel) Пермь. Спасибо большое

**thyrex** · 22.06.2009, 10:03

Пофиксили? Где новый лог HiJack?

Rootkit.Agent.ODG (заявка № 47713)

Опции темы