Здравствуйте!
Nod32 при проверке постоянно выдаёт, что в оперативной памяти завёлся win32/Rootkit.Agent.ODG и не может его удалить. Я тоже пробовал его найти и удалить вручную, но всё тщетно. Помогите пожалуйста!
Здравствуйте!
Nod32 при проверке постоянно выдаёт, что в оперативной памяти завёлся win32/Rootkit.Agent.ODG и не может его удалить. Я тоже пробовал его найти и удалить вручную, но всё тщетно. Помогите пожалуйста!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49292).
Сделайте новый лог syscheck (п.2 раздела Диагностика) и лог gmer.
I am not young enough to know everything...
Вот карантин:
Файл сохранён как 090704_193102_virus_4a4f75b6ee85d.zip
Размер файла 590
MD5 a5bdcc125db48887d45c0c7a44bb309c
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE55512-8E4C-48E3-8BDC-3A11FB6A3614}: NameServer = 85.255.115.45,85.255.112.144 O17 - HKLM\System\CCS\Services\Tcpip\..\{4A252C32-C801-45DD-809B-21328F134E64}: NameServer = 85.255.115.45,85.255.112.144 O17 - HKLM\System\CCS\Services\Tcpip\..\{A320FF49-EE5A-4E19-82AD-AEC462B0C02E}: NameServer = 85.255.115.45,85.255.112.144 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B5DE39-B83E-4BA6-A2EC-FB056F4C5966}: NameServer = 85.255.115.45,85.255.112.144 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS1\Services\Tcpip\..\{0ACF6FA1-B804-4A63-970F-3D926FC2BAEB}: NameServer = 85.255.115.45,85.255.112.144 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS2\Services\Tcpip\..\{0ACF6FA1-B804-4A63-970F-3D926FC2BAEB}: NameServer = 85.255.115.45,85.255.112.144 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETtbqhppxx.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxbccvyqjl.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\kungsfalkdwkra.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\kungsfalkdwkra.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxbccvyqjl.sys'); DeleteFile('C:\WINDOWS\system32\drivers\SKYNETtbqhppxx.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Повторите логи п.2 и 3 раздела Диагностика + лог gmer.
Последний раз редактировалось Bratez; 05.07.2009 в 14:49. Причина: поправил скрипт
I am not young enough to know everything...
Всё сделано!
Вот карантин:
Файл сохранён как 090705_160348_virus_4a5096a4cfb61.zip
Размер файла 75217
MD5 109721c78ab917267fb919cffed78a54
Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
Запустите этот файл.Код:gmer.exe -del service gaopdxserv.sys gmer.exe -del service kungsfaemyliqf gmer.exe -del service SKYNETvnyrtqit gmer.exe -del file "C:\WINDOWS\system32\drivers\gaopdxbccvyqjl.sys" gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfalkdwkra.sys" gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETtbqhppxx.sys" gmer.exe -reboot
Компьютер перезагрузится.
Сделайте новый лог gmer и HijackThis.
I am not young enough to know everything...
Готово!
Сканирование Nod32 показало, что этого вируса больше нет.
Спасибо, Вам, огромное!!!
Вот это еще пофиксите в HijackThis:
В остальном чисто.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B5DE39-B83E-4BA6-A2EC-FB056F4C5966}: NameServer = 85.255.115.45,85.255.112.144
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\gaopdxbccvyqjl.sys - Rootkit.Win32.TDSS.r ( DrWEB: BackDoor.Tdss.73, BitDefender: Gen:Trojan.Heur.TDSS.401CE3D3D3 )
Уважаемый(ая) XTheme, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.