Показано с 1 по 12 из 12.

Win32/Rootkit.Agent.ODG (заявка № 52344)

  1. #1
    Junior Member Репутация
    Регистрация
    18.08.2009
    Сообщений
    10
    Вес репутации
    32

    Exclamation Win32/Rootkit.Agent.ODG

    Поставил "чистую" систему WinXP SP3. Первым делом установил последнюю версию NOD32 вместе с последними базами. Проверил компьютер - сразу вирус, который не удаляется. Антивирус говорит:

    Operating memory - Win32/Rootkit.Agent.ODG trojan - unable to clean

    Пока выполнял инструкцию данного форума, обнаружился ещё один вирус:

    \\?\globalroot\systemroot\system32\kbiwkmduhxwbwe. dell
    a variant of Win32/Kryptik.ZV trojan
    unable to clean/delete

    Заранее спасибо за помощь! У вас отличный форум
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\kbiwkmiqhrlnsc.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\kbiwkmiqhrlnsc.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    18.08.2009
    Сообщений
    10
    Вес репутации
    32
    запрошенный карантин прикрепил
    прикрепляю лог gmer

  5. #4
    Junior Member Репутация
    Регистрация
    18.08.2009
    Сообщений
    10
    Вес репутации
    32
    странно он как-то прикрепляется
    Вложения Вложения
    • Тип файла: log gmer.log (18.8 Кб, 6 просмотров)

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys','');
    DeleteFile('c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys');
    QuarantineFile('c:\windows\system32\kbiwkmdeutepae.dll','');
    DeleteFile('c:\windows\system32\kbiwkmdeutepae.dll');
    QuarantineFile('c:\windows\system32\kbiwkmduhxwbwe.dll','');
    DeleteFile('c:\windows\system32\kbiwkmduhxwbwe.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service kbiwkmpqquxdab
    gmer.exe -del file "c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys"
    gmer.exe -del file "c:\windows\system32\kbiwkmdeutepae.dll"
    gmer.exe -del file "c:\windows\system32\kbiwkmpbpjwsrf.dat"
    gmer.exe -del file "c:\windows\system32\kbiwkmduhxwbwe.dll"
    gmer.exe -del file "c:\windows\system32\kbiwkmyksiqvre.dat"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmpqquxdab"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmpqquxdab"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    18.08.2009
    Сообщений
    10
    Вес репутации
    32
    карантин прислал.
    новый лог gmer прикладываю.
    при выполнении скрипта gmer несколько раз выскакивали сообщения об ошибке:
    ---------------------------
    GMER
    ---------------------------
    An error 0x00000002 occured during the deletion of file: "c:\windows\system32\drivers\kbiwkmiqhrlnsc.sy s": The specified module could not be found.


    ---------------------------
    OK
    ---------------------------

    ---------------------------
    GMER
    ---------------------------
    An error 0x00000002 occured during the deletion of file: "c:\windows\system32\drivers\kbiwkmiqhrlnsc.sy s": The specified module could not be found.


    ---------------------------
    OK
    ---------------------------

    ---------------------------
    GMER
    ---------------------------
    An error 0x00000002 occured during the deletion of file: "c:\windows\system32\kbiwkmduhxwbwe.dll": The specified module could not be found.


    ---------------------------
    OK
    ---------------------------

    ---------------------------
    GMER
    ---------------------------
    DeleteKey: The specified module could not be found.


    ---------------------------
    OK
    ---------------------------
    Вложения Вложения
    • Тип файла: log gmer2.log (11.7 Кб, 2 просмотров)

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Лог gmer чистый. Жалобы есть?

  9. #8
    Junior Member Репутация
    Регистрация
    18.08.2009
    Сообщений
    10
    Вес репутации
    32
    Жалоб нет Мои наилучшие пожелания создателям и участникам данного проекта

    Осталось только несколько вопросов:

    1. Как получилось, что я заразился, если у меня всегда стоял NOD32 с более-менее актуальными базами?
    2. Почему NOD не может удалить этот вирус, хотя может его обнаружить? Есть ли "автоматические" средства для обнаружения и удаления таких вирусов? Или это можно делать только вручную?
    3. В случае моего перехода на Vista - шансы заразиться были бы такими же? А шансы вылечиться в автоматическом режиме?
    4. Что мне делать, чтобы избежать заражений в будущем? У меня стоит NOD32 + Windows Firewall + SP3 + автообновления. Я так понимаю, что этого уже недостаточно...

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    Цитата Сообщение от dandaka Посмотреть сообщение
    В случае моего перехода на Vista - шансы заразиться были бы такими же?
    Чаще всего причина заражения находится в полуметре от монитора. Шансы, я думаю, не меньше.


    Цитата Сообщение от dandaka Посмотреть сообщение
    Что мне делать, чтобы избежать заражений в будущем?
    Почитайте это, много полезного и интересного.

    Добавлено через 40 минут

    Цитата Сообщение от dandaka Посмотреть сообщение
    Поставил "чистую" систему WinXP SP3. Первым делом установил последнюю версию NOD32 вместе с последними базами. Проверил компьютер - сразу вирус,
    Кстати, интересно откуда он выплыл. Флешки все проверили? Или может софт какой специфический ставили?
    Последний раз редактировалось light59; 18.08.2009 в 15:51. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    18.08.2009
    Сообщений
    10
    Вес репутации
    32
    Сегодня антивирус снова выдал сообщение, что мой компьютер заражен. Вчера компьютер был чист.

    1. Стоит Windows Firewall
    2. Стоит NOD32 версии 4.0.437, базы от 2009.08.18 (самые свежие)
    3. Флешки не втыкал, автозапуск отключен
    4. Все диски проверены на вирусы
    5. Программы, которые я мог устанавливать, по идее проверялись тем же NOD
    6. Система WinXP SP3, все обновления проведены

    Откуда он мог взяться опять? Заражение через сеть? Что нужно сделать, чтобы он не появлялся вновь? Поставить Outpost Firewall?

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Сделайте свежие логи...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys - Trojan.Win32.Tdss.aogy ( DrWEB: BackDoor.Tdss.403, AVAST4: Win32:Alureon-CO [Rtk] )
      2. c:\windows\system32\kbiwkmdeutepae.dll - Packed.Win32.TDSS.z ( AVAST4: Win32:Alureon-CO [Rtk] )
      3. c:\windows\system32\kbiwkmduhxwbwe.dll - Trojan.Win32.Agent.cumi ( AVAST4: Win32:Alureon-CO [Rtk] )


  • Уважаемый(ая) dandaka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    5. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01311 seconds with 17 queries