Показано с 1 по 13 из 13.

"Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна" (заявка № 52262)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    7
    Вес репутации
    32

    Thumbs up "Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна"

    Добрый день ! Очередной раз таже проблема, антивирус NOD32 4.версия
    Самостоятельное написание скриптов результата не дали
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\drivers\zkitymcfe.sys','');
     DeleteService('bsleiuxaju');
     QuarantineFile('C:\WINDOWS\System32\zpx2.exe','');
     DeleteService('winsecguard');
     QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
     DeleteService('WinHelp32');
     QuarantineFile('C:\WINDOWS\system32\i\J001.exe','');
     DeleteService('vrgv');
     QuarantineFile('C:\WINDOWS\vtdfhgbfv.exe','');
     DeleteService('tdgfv');
     QuarantineFile('C:\WINDOWS\system32\i\I001.exe','');
     DeleteService('sfrr');
     QuarantineFile('C:\WINDOWS\system32\8RD4WGPPU9\C002.exe','');
     DeleteService('sfr');
     QuarantineFile('C:\WINDOWS\system32\i\E001.exe','');
     DeleteService('server this');
     QuarantineFile('C:\WINDOWS\system32\i\J002.exe','');
     DeleteService('rgt');
     QuarantineFile('C:\WINDOWS\cdas.exe','');
     DeleteService('dcafd');
     QuarantineFile('C:\WINDOWS\dasfd.exe','');
     DeleteService('dasf');
     QuarantineFile('C:\WINDOWS\clfdle.exe','');
     DeleteService('cldos');
     QuarantineFile('C:\WINDOWS\clfile.exe','');
     QuarantineFile('C:\WINDOWS\vfhyjh.exe','');
     DeleteService('gjunj');
     DeleteService('fdos');
     QuarantineFile('C:\WINDOWS\Fonts\BBBA9E09.EXE','');
     DeleteService('F5F2580F');
     QuarantineFile('c:\windows\system32\mstcpweb.dll','');
     DeleteFile('c:\windows\system32\mstcpweb.dll');
     DeleteFile('C:\WINDOWS\Fonts\BBBA9E09.EXE');
     DeleteFile('C:\WINDOWS\vfhyjh.exe');
     DeleteFile('C:\WINDOWS\clfile.exe');
     DeleteFile('C:\WINDOWS\clfdle.exe');
     DeleteFile('C:\WINDOWS\dasfd.exe');
     DeleteFile('C:\WINDOWS\cdas.exe');
     DeleteFile('C:\WINDOWS\system32\i\J002.exe');
     DeleteFile('C:\WINDOWS\system32\i\E001.exe');
     DeleteFile('C:\WINDOWS\system32\8RD4WGPPU9\C002.exe');
     DeleteFile('C:\WINDOWS\system32\i\I001.exe');
     DeleteFile('C:\WINDOWS\vtdfhgbfv.exe');
     DeleteFile('C:\WINDOWS\system32\i\J001.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
     DeleteFile('C:\WINDOWS\System32\zpx2.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\zkitymcfe.sys');
     DeleteFile('digeste.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    7
    Вес репутации
    32

    Выполнил скрипт, снова сделал логи

    ненужные службы и процессы удалилсь, но нод всеравно ругается
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    конечно ругается.
    Выполните скритп
    Код:
    begin
     SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Сделайте пункт 2 диагностики.
    Сделайте лог gmer

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    7
    Вес репутации
    32

    высылаю лог пункта 2 и gmer

    высылаю лог пункта 2 и gmer
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\drivers\vsfocewbspqrnl.sys','');
    DeleteFile('c:\windows\system32\drivers\vsfocewbspqrnl.sys');
    QuarantineFile('c:\windows\system32\vsfocecbxxtkpm.dll','');
    DeleteFile('c:\windows\system32\vsfocecbxxtkpm.dll');
    QuarantineFile('c:\windows\system32\vsfocedmtkyfva.dll','');
    DeleteFile('c:\windows\system32\vsfocedmtkyfva.dll');
    SetServiceStart('PCIDump', 4);
     DeleteService('PCIDump');
     QuarantineFile('C:\WINDOWS\system32\Drivers\PCIDump.sys','');
     QuarantineFile('C:\Program Files\Common Files\Svc.exe','');
     DeleteService('WcsSrv');
     QuarantineFile('c:\windows\system32\adapweb.dll','');
     DeleteFile('C:\Program Files\Common Files\Svc.exe');
     DeleteFile('c:\windows\system32\adapweb.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\PCIDump.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service vsfocelwxwbrpu
    gmer.exe -del file "c:\windows\system32\drivers\vsfocewbspqrnl.sys"
    gmer.exe -del file "c:\windows\system32\vsfocecbxxtkpm.dll"
    gmer.exe -del file "c:\windows\system32\vsfoceukksiqch.dat"
    gmer.exe -del file "c:\windows\system32\vsfocedmtkyfva.dll"
    gmer.exe -del file "c:\windows\system32\vsfocehyswxnvh.dat"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocelwxwbrpu"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vsfocelwxwbrpu"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новые логи + новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    7
    Вес репутации
    32

    Выполнил скрипты

    Выполнил скрипты AVZшный нормально прошел, а выдал ошибку во 2,3,5 строках, не нашел таких файлов.
    В карантине ничего нет.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    7
    Вес репутации
    32

    результат

    по работе: машина сталагораздо шустрее и визуально работает как положено, НОД молчит теперь, но смущают два процесса: cisvc.exe(Content Index service) и cidaemon.exe(Indexing Services filter daemon)
    Что это за процеесы ?
    Спасибо большое за вашу помощь,!!!!!!!

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Эти файлы относятся к Службе индексирования

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\WinSxS\zpx2.exe','');
    DeleteFile('C:\WINDOWS\WinSxS\zpx2.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (лог gmer не нужен)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    7
    Вес репутации
    32

    жизнь налаживается

    выполнил скриптик, получил карантинчик, и вроде как все чисто
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    В логах ничего подозрительного. Жалобы есть?

    - Прочитайте Как не стать завсегдатаем раздела Помогите?
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    - Установите IE 8

    И объясните себе и нам: зачем пользоваться старым крякнутым антивирусом, когда можно установить новый бесплатный?

  13. #12
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    7
    Вес репутации
    32

    Спасибо Огромное!!!!

    Спасибо большое за помощь!!
    Уже купил новый нод 4, жалоб нет все отлично
    Поставил 3 пак, учту все ваши пожелания .
    СПАСИБО!!!!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\mstcpweb.dll - Trojan.Win32.Agent.ctfa ( DrWEB: Trojan.Packed.650, BitDefender: Trojan.Packed.Libix.Gen.1, NOD32: Win32/TrojanDownloader.Agent.NTM trojan, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) malish_jo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 05.09.2009, 19:05
    2. Ответов: 16
      Последнее сообщение: 01.09.2009, 04:51
    3. Ответов: 13
      Последнее сообщение: 18.08.2009, 20:30
    4. Ответов: 22
      Последнее сообщение: 18.08.2009, 16:40
    5. Ответов: 25
      Последнее сообщение: 08.07.2009, 13:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01180 seconds with 17 queries