Показано с 1 по 14 из 14.

Здравствуйте! Прошу помощи. Словил Win32/Rootkit.Agent.ODG (заявка № 52126)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Москва
    Сообщений
    7
    Вес репутации
    31

    Thumbs up Здравствуйте! Прошу помощи. Словил Win32/Rootkit.Agent.ODG

    Доброй ночи. Неделю назад обнаружил проблемы при подключении к узлам mail.rambler.ru, а также всем популярным соц. сетям, в т.ч. "Вконтакте". При загрузке сих ресурсов отображалось сообщение с просьбой отправить СМС и т.п. Начал лечить, стоит НОД32, ежедневно обновляется. Нашел какую то мелочь, удалил. Далее сам ручками поправил %windir%/system32/drivers/etc/hosts - где были прописаны адреса соц. сетей и почтового сервера РАМБЛЕРА. Заработали. После перезагрузки системы - НОД обнаружил: "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна". Пытался "задушить руками" ) Есессно не смог 0( Ознакомился с Вашими правилами, сделал все по инструкции. Д.Веб нашел в безопасном режиме несколько троянов, вылечил (удалил). Отправляю Вам все необходимые ЛОГИ. Буду очень признателен, если поможете разобраться с этой заразой)) Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZPMStatus(true);    
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    2. Повторите лог virusinfo_syscheck.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Москва
    Сообщений
    7
    Вес репутации
    31
    Скрипт выполнил. Комп перезагрузился. Повторил virusinfo_syscheck
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('D:\DOCUME~1\X@N\LOCALS~1\Temp\b.exe','');
     QuarantineFile('D:\INSTALL\Настройка и украшение ОС\AddToStartUp 1.0\AddToStartUp.exe','');
     QuarantineFile('D:\INSTALL\Запись CD, DVD\Nero 8\Nero 8 Keygen.exe','');
     DeleteFile('\systemroot\system32\drivers\SKYNETxvmdiwhp.sys');
     DeleteFile('D:\RECYCLER\S-1-5-21-2740814054-8145254851-119275842-8280\wmiprvse.exe');
     DeleteFile('scvhost.exe');
     DeleteFile('D:\DOCUME~1\X@N\LOCALS~1\Temp\b.exe');
     DeleteFile('C:\WINDOWS\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=52126

    3. Эти адреса Вам известны?

    O17 - HKLM\System\CCS\Services\Tcpip\..\{6B2B3AC5-F1BD-4F4A-9EE0-74B8251EBB98}: NameServer = 85.21.192.5 213.234.192.7
    O17 - HKLM\System\CS1\Services\Tcpip\..\{6B2B3AC5-F1BD-4F4A-9EE0-74B8251EBB98}: NameServer = 85.21.192.5 213.234.192.7
    Если нет, то пофиксите.

    4. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Москва
    Сообщений
    7
    Вес репутации
    31
    Скрипт выполнил. Карантин отправил. Пофиксил. Логи повторил. Высылаю.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Сделайте такой лог http://virusinfo.info/showthread.php?t=40118

    Corbina Ваш провайдер?
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Москва
    Сообщений
    7
    Вес репутации
    31
    Лог гмера прикрепил. Корбина - провайдер. (Corbina Telecom)
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

    Код:
    gmer.exe -del service kungsflcnvytoi
    gmer.exe -del service kungsfpiqwbwuc
    gmer.exe -del service kungsfvovnpypp
    gmer.exe -del service SKYNETblnsibea
    gmer.exe -del service SKYNETipmpdrbc
    gmer.exe -del service SKYNETwmdieexy 
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsflcnvytoi"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfpiqwbwuc"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfvovnpypp"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETblnsibea"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETipmpdrbc"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETwmdieexy"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsflcnvytoi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfpiqwbwuc"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfvovnpypp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETipmpdrbc"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETwmdieexy"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsflcnvytoi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfpiqwbwuc"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfvovnpypp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETblnsibea"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETipmpdrbc"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETwmdieexy"
    gmer.exe -reboot
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Москва
    Сообщений
    7
    Вес репутации
    31
    Сделал. Повторно пошуршал ГМЕРом, кажется чисто?
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SetServiceStart('Schedule', 4);
     DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
     DeleteFile('D:\DOCUME~1\X@N\LOCALS~1\Temp\b.exe');
     DeleteFile('C:\WINDOWS\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Сделайте повторные логи (только п.2 и 3 раздела Диагностика).
    Сердце решает кого любить... Судьба решает с кем быть...

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Москва
    Сообщений
    7
    Вес репутации
    31
    Сделал.
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Очистите планировщик заданий.

    Ничего зловредного в логах нет. Что с проблемами?
    Сердце решает кого любить... Судьба решает с кем быть...

  14. #13
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Москва
    Сообщений
    7
    Вес репутации
    31
    Александра, тысячу раз спасибо! Проблем нет, НОД ничего зловредного не находит. Вообщем, все путем. Благодаря ВАМ! И можно небольшой офф. вопрос - какой файрволл можете порекомендовать? После данного случая решил все же поставить...

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Xan199, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу помощи hacktool.rootkit
      От Depo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.07.2009, 18:24
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    5. Ответов: 14
      Последнее сообщение: 09.04.2008, 15:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01231 seconds with 17 queries