Показано с 1 по 20 из 20.

win32/Olmarik.ju (заявка № 51381)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54

    Question win32/Olmarik.ju

    сегодня после проверки антивирусом нод32 в карантин попался win32/Olmarik.ju троянская программа и win32/Rootkit.Agent.ODG на первый антивирус сказал ошибка при очистке, а на второй очистка невозможна, у первого путь \\?\globalroot\systemroot\system32\hjgruigrktmvve. dll , а у второго путь оперативная память.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVPTool и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('tcpsr');
     StopService('ATE_PROCMON');
     QuarantineFile('C:\Program Files\Movie Maker\svchost.exe','');
     QuarantineFile('\systemroot\system32\drivers\hjgruigybtnwne.sys','');
     QuarantineFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Diag69xp.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('dll.dll','');
     QuarantineFile('hblogon.dll','');
     QuarantineFile('mcenspc.dll','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('\systemroot\system32\hjgruigrktmvve.dll','');
     DeleteFile('\systemroot\system32\hjgruigrktmvve.dll');
     DeleteFile('digeste.dll');
     DeleteFile('mcenspc.dll');
     DeleteFile('hblogon.dll');
     DeleteFile('dll.dll');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys');
     DeleteFile('\systemroot\system32\drivers\hjgruigybtnwne.sys');
     DeleteFile('C:\Program Files\Movie Maker\svchost.exe');
     DeleteService('ATE_PROCMON');
     DeleteService('tcpsr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('ATE_PROCMON');
    BC_DeleteSvc('tcpsr');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторный лог
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте C:\quarantine.zip по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите лог к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    сделано
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 06.08.2009 в 13:15. Причина: Карантин в теме

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Program Files\Movie Maker\svchost.exe','');
     DeleteFile('C:\Program Files\Movie Maker\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    - Сделайте лог GMER
    - Сделайте повторный лог
    - Включите Антвирус и Файрволл
    - Закачайте C:\quarantine.zip по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите лог к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    сделал
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVPTool и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    Код:

    Код:
    gmer.exe -del service hjgruiawadelus
    gmer.exe -del file "C:\WINDOWS\system32\drivers\hjgruigybtnwne.sys"
    gmer.exe -del file "C:\WINDOWS\system32\hjgruitbbtrfqn.dll"
    gmer.exe -del file "C:\WINDOWS\system32\hjgruipntdkmrp.dat"
    gmer.exe -del file "C:\WINDOWS\hjgruigrktmvve.dll"
    gmer.exe -del file "C:\Program Files\Movie Maker\svchost.exe"
    gmer.exe -del file "C:\WINDOWS\system32\hjgruiruemhsui.dat"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruiawadelus"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hjgruiawadelus"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruiawadelus"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruiawadelus"
    gmer.exe -reboot
    скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.

    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Temp\Rar$EX00.937\ComVC\Smport.sys','');
     DeleteFileMask('C:\Windows','hjgrui*.*',false);
     DeleteFileMask('C:\Windows\system32','hjgrui*.*',false);
     DeleteFileMask('C:\Windows\system32\drivers','hjgrui*.*',false);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторный логи AVPTOOL + GMER
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте C:\quarantine.zip по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    сделал, нод32 уже ненаходит в оперативной памяти ничего, может всё?
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Отключите Системное восстановление.
    Восстановление системы: включено

    Отключите. Сделайте повторный лог AVPTOOL

  10. #9
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    сделано
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    У Вас файловый вирус сидит. Пролечитесь: http://virusinfo.info/showthread.php?t=15927

    Добавлено через 5 минут

    Закройте/выгрузите все программы кроме AVPTool и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('navigator');
     TerminateProcessByName('c:\temp\rarsfx0\kne23r.exe');
     TerminateProcessByName('c:\temp\rarsfx0\2932s.exe');
     QuarantineFile('C:\Program Files\Movie Maker\svchost.exe','');
     QuarantineFile('C:\WINDOWS\fd.dll','');
     QuarantineFile('c:\temp\rarsfx0\kne23r.exe','');
     QuarantineFile('c:\temp\rarsfx0\2932s.exe','');
     DeleteFile('c:\temp\rarsfx0\2932s.exe');
     DeleteFile('c:\temp\rarsfx0\kne23r.exe');
     DeleteFile('C:\WINDOWS\fd.dll');
     DeleteFileMask('c:\temp','*.*',true);
     DeleteService('navigator');
     DeleteFile('C:\Program Files\Movie Maker\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('navigator');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт в разделе Ручное лечение
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторный логи AVPTOOL
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте C:\quarantine.zip по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 06.08.2009 в 17:44. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    сделал
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Dmitronish Посмотреть сообщение
    сделал
    Карантин сделайте и закачайте, плиз

    Удалите Spyware Terminator и Crawler Toolbar

    Код:
    Код:
    gmer.exe -del file "C:\Program Files\Movie Maker\svchost.exe"
    gmer.exe -reboot
    скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 25555.bat и запустите.
    После перезагрузки повторите лог AVPTool.
    Последний раз редактировалось Rene-gad; 06.08.2009 в 18:14. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    форум, перевернуло вверх ногами, строки нет Прислать запрошенный карантин креплю здесь

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Dmitronish Посмотреть сообщение
    форум, перевернуло вверх ногами, строки нет Прислать запрошенный карантин креплю здесь
    Он пустой. Зачем Вы переименовали файл? Please do: http://virusinfo.info/showpost.php?p...8&postcount=12

  16. #15
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен,креплю его здесь
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 07.08.2009 в 11:48.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Сделайте лог по п. 3 Диагностики.

    ПС: Ещё раз прикрепите карантин в тему - удалю и тему и автора . Не крепится значит не крепися - и баста!

  18. #17
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    вот
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
    O20 - Winlogon Notify: crypt - C:\WINDOWS\
    O20 - Winlogon Notify: hblogon - C:\WINDOWS\
    Special AVZ скачайте по ссылке в подписи и дальше работайте с ним.

    - Выполните скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте лог GMER
    - Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.

  20. #19
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    10
    Вес репутации
    54
    сделал
    Вложения Вложения

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\hjgruigybtnwne.sys - Trojan.Win32.TDSS.amdn ( DrWEB: BackDoor.Tdss.266, BitDefender: Trojan.CryptRedol.Gen.3 )
      2. c:\windows\system32\hjgruigrktmvve.dll - Trojan.Win32.Agent.ctix ( DrWEB: BackDoor.Tdss.368, BitDefender: Trojan.CryptRedol.Gen.3 )


  • Уважаемый(ая) Dmitronish, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Olmarik.AJL
      От Aparat в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.07.2012, 00:04
    2. Win32/Olmarik
      От marmofloatt в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 09.01.2011, 11:48
    3. Win32.Olmarik
      От RusL1k в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 19.10.2009, 17:49
    4. Вирусы Packed.Win32.Tdss.c b Win32/Olmarik
      От olmarik в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 14.10.2009, 03:55
    5. Win32/Rootkit.Agent.ODG и Win32/Olmarik.JU Помогите пожалуйста!
      От Попутчик1980 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.07.2009, 16:09

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00016 seconds with 20 queries