Показано с 1 по 19 из 19.

win32/rootkit.agent.odg (заявка № 48767)

  1. #1
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31

    Thumbs up win32/rootkit.agent.odg

    при проверке NOD32 выскакивает сообщение о трояне win32/rootkit.agent.odg в оперативной памяти, найти и удалить его пока не получилось.
    была бы благодарна вам за помощь.
    надеюсь, все приложения оформила правильно.
    Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрволл.
    Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\pr2ajgeb.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ps6ajgeb.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\pe3ajgeb.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETaowyyuej.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\SKYNETaowyyuej.sys');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\34714765.sys','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\34714765.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Лог Gmer по теме из "Чаво" сделайте.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    Цитата Сообщение от gjf Посмотреть сообщение

    извините, вы не написали какие именно строки отмечать. или все надо?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Извините, это моя ошибка. Ничего в HiJackThis пока не нужно фиксить.

    Добавлено через 33 секунды

    Скрипт выполнили? Давайте логи, будем работать дальше.
    Последний раз редактировалось gjf; 26.06.2009 в 19:01. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    вот...
    посмотрите, пожалуйста.
    Вложения Вложения

  9. #8

  10. #9
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    сейчас... он просто так долго проверяет...

  11. #10
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    вот.
    Вложения Вложения
    • Тип файла: log Gmer.log (108.9 Кб, 3 просмотров)

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    И запустите cleanup.bat
    Код:
    gmer.exe -killall 
    gmer.exe -del service SKYNETacxxnhtk
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETaowyyuej.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETacxxnhtk"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETacxxnhtk"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETacxxnhtk"
    gmer.exe -reboot
    Система перезагрузится.
    Сделайте новый лог gmer.

  13. #12
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    сделала. но в процессе выполнения выскочило две ошибки. я не запомнила текст, правда....
    сейчас сделаю лог.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    В Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat"

    Добавлено через 12 минут

    Вы - молодец!
    Ошибки скорее всего было не две, а три, но это нормально, я просто перестраховался в скрипте.
    Жду лог.
    Последний раз редактировалось gjf; 26.06.2009 в 19:52. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    вот, что получилось.
    Вложения Вложения
    • Тип файла: log gmer2.log (91.3 Кб, 5 просмотров)

  16. #15
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    Цитата Сообщение от gjf Посмотреть сообщение
    Ошибки скорее всего было не две, а три, но это нормально, я просто перестраховался в скрипте.
    да, возможно. я просто так перепугалась, что могла неправильно посчитать) у лингвистов с математикой туго.

    П.С. Нод сейчас работает, больше уведомлений о том трояне не выдает. Может, получилось?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Ничего бояться не нужно - всё будет хорошо. А лингвистам привет от химиков
    В логах чисто. Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    Установите все последние обновления системы Windows и используемых программ.

  18. #17
    Junior Member Репутация
    Регистрация
    26.06.2009
    Сообщений
    10
    Вес репутации
    31
    ураааа!!!!!!


    большое вам спасибо)

    вы гений) я перед компьютерными трабблами тихо пасую, так что для меня такие умения - что-то нереальное)
    еще раз спасибо.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Не стоит благодарности
    Как нас благодарить, я уже сказал. Успехов и не болейте (ни виртуально, ни реально).

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\skynetaowyyuej.sys - Rootkit.Win32.Agent.lxc ( BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )


  • Уважаемый(ая) Ly4, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    5. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00900 seconds with 17 queries