Добрый день.
Словил такой вирус. Win32/Rootkit.Agent.ODG
Сидит в оперативной памяти. Удаление невозможно
При этом не работает CureIt.
Обнаруживает триальный Nod32 и AVP.
Добрый день.
Словил такой вирус. Win32/Rootkit.Agent.ODG
Сидит в оперативной памяти. Удаление невозможно
При этом не работает CureIt.
Обнаруживает триальный Nod32 и AVP.
Отключив интернет и антивирус, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dll.dll',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\geyekruerfusbh.dll',''); QuarantineFile('C:\WINDOWS\system32\alil.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys'); DeleteFile('C:\WINDOWS\system32\alil.dll'); DeleteFile('C:\WINDOWS\system32\geyekruerfusbh.dll'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=50566).
Сделайте новые логи.
Дополнительно сделайте лог gmer.
I am not young enough to know everything...
Вот сделал все логи как Вы просили!
Файл сохранён как090724_085735_virus_4a693f3fecc46.zipРазмер файла1454MD534c47865644363b219cb9f961bbc40f9
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('LMIRfsClientNP.sys',''); QuarantineFile('c:\windows\system32\geyekrftlixjix.dat',''); QuarantineFile('C:\WINDOWS\system32\kvtuy.dll',''); QuarantineFile('c:\windows\system32\drivers\geyekraxtmpfum.sys',''); QuarantineFile('c:\windows\system32\geyekrpcfmsquy.dat',''); QuarantineFile('c:\windows\system32\geyekrrekeppbf.dll',''); DeleteFile('c:\windows\system32\geyekrrekeppbf.dll'); DeleteFile('c:\windows\system32\geyekrpcfmsquy.dat'); DeleteFile('c:\windows\system32\geyekrftlixjix.dat'); DeleteFile('C:\WINDOWS\system32\kvtuy.dll'); DeleteFile('c:\windows\system32\drivers\geyekraxtmpfum.sys'); DeleteFile('LMIRfsClientNP.sys'); BC_Importall; BC_DeleteSvc('LMIRfsClientNP'); ExecuteSysClean; ExecuteRepair(6); BC_Activate; RebootWindows(true); end.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Запустите cleanup.bat.Код:gmer.exe -del service geyekrviljssbm gmer.exe -del service hhogno gmer.exe -del file "c:\windows\system32\drivers\geyekraxtmpfum.sys" gmer.exe -del file "c:\windows\system32\geyekrrekeppbf.dll" gmer.exe -del file "c:\windows\system32\geyekrpcfmsquy.dat" gmer.exe -del file "c:\windows\system32\geyekruerfusbh.dll" gmer.exe -del file "c:\windows\system32\geyekrftlixjix.dat" gmer.exe -del file "C:\WINDOWS\system32\kvtuy.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrviljssbm" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hhogno" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\geyekrviljssbm" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hhogno" gmer.exe -reboot
Компьютер перезагрузится.
Пришлите карантин AVZ, как писалось ранее.
Повторите логи AVZ, gmer
Gmer может заругаться, не обращайте на это внимание.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Всё сделал!
Файл сохранён как090724_122921_virus_4a6970e16850d.zipРазмер файла72437MD5282bfa9111b0500ae034571be7341cbe
Только уж больно долго gmer выполняется.
В логах чисто. Желательно обновить:
Platform: Windows XP SP2 (WinNT 5.01.2600)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да всё заработало!
Всем спасибо кто отозвался.
CureIT тоже заработал. Им ещё раз прогнал всё чисто.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\geyekrrekeppbf.dll - Backdoor.Win32.Neakse.bew ( DrWEB: BackDoor.Tdss.320, BitDefender: Trojan.CryptRedol.Gen.3 )
Уважаемый(ая) cmind, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.