Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

"Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна". (заявка № 52210)

  1. #1
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31

    Thumbs up "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна".

    Здравствуйте, у меня появилась такая же проблема, как и у многих, кто к Вам обращается. NOD32 4.0.437.0 выдает сообщение: "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна". Помогите пожалуйста.

    Все делал по инструкции форума. Логи ниже.

    Ну помогите, в самом деле!
    Сижу на чужом компе и уже хочу домой
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 16.08.2009 в 14:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Тем, кто ОЧЕНЬ спешит я обычно советую сделать format c:\ - получается намного быстрее.
    Пожалуйста, помните, что помощь Вам оказывается бесплатно, и на добровольной основе. Не требуйте помощи в категоричной форме.
    - Удалите Bonjour.
    - Очистите темп-папки, кэш проводников и корзину.
    - Сделайте лог GMER

  4. #3
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    Извините если мое сообщение получилось требовательным и категоричным
    Просто уже 2-й день с этим компом маюсь - а домой не отпускают
    И винду не дают переставить, говорят: "Лицензионная!" А тут - "зверь" с вирусом

    Теперь по существу:
    1) Бонжур удален
    2) Времянки почищены.
    3) Лог прикреплен.

    Спасибо за помощь!

    П.С. G-mer сообщил о следах руткитов.
    И еще вопрос: периодически пропадают элементы окон. После свернуть/развернуть или перемещения опять появляются. Знаю что проблема характерна для "зверя", а вот можно ее как-то победить?
    Вложения Вложения
    • Тип файла: log gmer.log (61.9 Кб, 3 просмотров)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Код:
    Код:
    gmer.exe -del service SKYNETxfmqxoba
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETfucbfomv.sys"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETqgfjwbsm.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETkverqoiv.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETssfvscnm.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETgwypbivo.dat"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETxfmqxoba"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETxfmqxoba"
    gmer.exe -reboot
    скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
    После перезагрузки повторите логи по правилам + gmer.

  6. #5
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    При первом запуске 123.bat выдал ошибку на строке:
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETgwypbivo.dat"
    (ошибка в доступе к памяти по адресу...)
    После перезагрузки повторный запуск батника прошел до строки:
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETfucbfomv.sy s"
    дальше писал ошибки, что файл не существует. Т.е. они удалились?

    NOD после перезагрузок по-прежнему выдает предупреждение о рутките.

    Все логи в аттаче.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\nro.tmp\SetupX.exe','');
    BC_ImportAll;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Код:
    Код:
    gmer.exe -del service SKYNETxfmqxoba
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETfucbfomv.sys"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETwsp.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETiqxerxeu.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETbvttyeqc.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNEThenwkbdu.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETyeurgbrq.dat"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETxfmqxoba"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETxfmqxoba"
    gmer.exe -reboot
    скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 22222.bat и запустите.
    После перезагрузки повторите логи по правилам + gmer.
    Последний раз редактировалось Rene-gad; 16.08.2009 в 18:15.

  8. #7
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    Карантин отправлен

    Добавлено через 15 минут

    После выполнения скрипта в AVZ и перезагрузки виндовс просит найти драйвера на неизвестное устройство.
    Последний раз редактировалось MEXAHO3ABP; 16.08.2009 в 19:01. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от MEXAHO3ABP Посмотреть сообщение
    После выполнения скрипта в AVZ и перезагрузки виндовс просит найти драйвера на неизвестное устройство.
    Удалите его.

  10. #9
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    Устройство удалил.

    Логи прикрепил... Жду дальнейших указаний
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('\systemroot\system32\drivers\SKYNETfucbfomv.sys','');
     DeleteFile('\systemroot\system32\drivers\SKYNETfucbfomv.sys');
     SysCleanAddFile('C:\Documents and Settings\Admin\Local Settings\Temp\nro.tmp\SetupX.exe');
     SysCleanAddFile('D:\Winamp\winampa.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
    Обновите Java.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Скрипт GMER не срабатывает.
    Ответьте плиз на вслед. вопросы:
    1. Вы сохраняте файл как 22222.bat? ДА/НЕТ
    2. Вы сохраняте файл в той же папке, где лежит файл gmer.exe ? ДА/НЕТ
    3. Вы запускаете файл двойным щелчком? ДА/НЕТ
    4. ПК после выполнения скрипта перегружается? ДА/НЕТ

    Если Вы на все вопросы ответили ДА: Файл 22222.bat запакуйте и прикрепите к сообщению.

  13. #12
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    После выполнения скрипта AVZ при перезагрузке прошел чекдиск диска f (не системного).

    Карантин отправлен.
    AVZ обновлен.
    Лог в аттаче.

    Java обновил.

    1. Вы сохраняте файл как 22222.bat? ДА
    2. Вы сохраняте файл в той же папке, где лежит файл gmer.exe ? ДА
    3. Вы запускаете файл двойным щелчком? ДА
    4. ПК после выполнения скрипта перегружается? ДА

    Но есть ньюансы.
    Вот содержимое 22222.bat:

    gmer.exe -del service SKYNETxfmqxoba
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETfucbfomv.sy s"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETwsp.dll" - до этой строки (включая ее) все работает нормально, дальше пишет ошибку: "такой файл не существует"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETiqxerxeu.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETbvttyeqc.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNEThenwkbdu.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETyeurgbrq.dat"

    дальше все строки срабатывают как надо

    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETxfmqxoba "
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETxfmq xoba"
    gmer.exe -reboot


    компьютер перезагружается.

    22222.bat прикрепил.

    P.S. Нод больше не ругается на Rootkit.agent.ODG.
    Вложения Вложения
    Последний раз редактировалось MEXAHO3ABP; 17.08.2009 в 08:44.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Руткит удален, осталась только запись его драйвера в реестре.
    NOD32 успокоился?

  15. #14
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    NOD32 спокоен как море в штиль

    Спасибо аагромедное!!!

    Еще почистить надо чем-нибудь?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Прочитайте Как не стать завсегдатаем раздела Помогите?
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    - Обновите JavaRE

  17. #16
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    А 1.6.0 - это уже старая ява???

    Добавлено через 33 минуты

    Спасибо за помощь!

    Все рекомендации принял к исполнению.
    Комп теперь чистый. Gmer больше не ругается.
    На основании последнего лога (прикреплен), выполнил такой bat'ник:
    gmer.exe -del service SKYNETxfmqxoba
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETfucbfomv.sy s"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETqdeombcj.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETxrxtfpou.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETxaxtiwts.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETscjaivko.dat"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETxfmqxoba "
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETxfmq xoba"
    gmer.exe -reboot

    именно после него gmer и успокоился!

    Отдельное спасибо AndreyKa за скрипт для AVZ.

    Теперь поехал проверять свой комп
    Последний раз редактировалось MEXAHO3ABP; 17.08.2009 в 15:14. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Дело не в номере версии а в номере билда.
    Ваша версия по уровню безопасности соответствует 1.5.0_16 или 1.4.2_18.
    http://java.sun.com/javase/6/webnotes/6u7.html

  19. #18
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    И какой билд тогда ставить?
    И как?
    Я просто обновил яву из ее контрол панели...

    Добавлено через 3 минуты

    Или там EE поставить?
    Последний раз редактировалось MEXAHO3ABP; 17.08.2009 в 15:52. Причина: Добавлено

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Ставить крайний билд: 1.6.0_16 Через ту же Панель управления можно посмотреть какой сейчас установлен.

  21. #20
    Junior Member Репутация
    Регистрация
    16.08.2009
    Адрес
    Россия, Омск
    Сообщений
    11
    Вес репутации
    31
    Щас стоит (build 1.6.0_15-b03).
    На сайте тыкаю: проверить версию, а он отвечает - самая крайняя...
    Упс. Отвечает: "У вас установлена рекомендованная версия Java (Version 6 Update 15). "

    Добавлено через 2 минуты

    А чего он тогда сам не обновляется до версии 16, если кнопку Update нажимаешь???
    Сырая она что-ли?

    Добавлено через 10 минут

    Все. Обновил. Ручками с сайта.
    Последний раз редактировалось MEXAHO3ABP; 17.08.2009 в 16:14. Причина: Добавлено

  • Уважаемый(ая) MEXAHO3ABP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 12
      Последнее сообщение: 05.09.2009, 19:05
    2. Ответов: 16
      Последнее сообщение: 01.09.2009, 04:51
    3. Ответов: 12
      Последнее сообщение: 20.08.2009, 12:36
    4. Ответов: 13
      Последнее сообщение: 18.08.2009, 20:30
    5. Ответов: 25
      Последнее сообщение: 08.07.2009, 13:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00167 seconds with 17 queries