Показано с 1 по 20 из 20.

Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна + вирус еxplorer.exe (заявка № 52733)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32

    Thumbs up Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна + вирус еxplorer.exe

    Здравствуйте. Хочу попросить помощи. Машина совсем разленилась, не работает, отдает всю оперативную память проводнику. Не знаю кто в этом виноват больше, вирус в оперативке, который нашел нод 32 или вирус эксплорер. Помогите пожалуйста.
    Забыла добавить, при попытке отключить восстановление системы, комп заругался. Написал вот это:

    Произошла ошибка на странице свойств:
    Достигнут предел по количеству защищенных данных/ресурсов для одной системы. (0х80070565)
    Закройте страницу свойств и повторите попытку
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\system32\drivers\aliide.sys','');
     QuarantineFile('C:\Windows\system32\drivers\aliserv3.sys','');
     QuarantineFile('C:\Windows\system32\csrcs.exe','');
     QuarantineFile('C:\Windows\system32\alil.dll','');
     DeleteFile('C:\Windows\system32\alil.dll');
     DeleteFile('C:\Windows\system32\csrcs.exe');
     DeleteFile('C:\Windows\system32\drivers\aliserv3.sys');
     DeleteFile('C:\Windows\system32\drivers\aliide.sys');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer (запускать от имени Администратора по правой кнопке мыши)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Скрипт выполнила. Машина начала грузиться правильно, проводник перестал раздваиваться в диспетчере задач и больше не ест оперативку в сумасшедших размерах. Восстановление системы удалось отключить без всяких проблем. Карантин отправлен. Логи сделаны. Вот только лог гмера оказался пустым. Может я что-то не так сделала? Запущу сейчас на проверку Нод32, посмотрим что он выдаст
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Shaora Посмотреть сообщение
    Вот только лог гмера оказался пустым.
    Он не может быть пустым Там у Вас полно руткитов.

    Запущу сейчас на проверку Нод32
    Не надо. НОД отключите на все время лечения или удалите его.

    Сделайте лог Avenger

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Нод удалила. Лог сделала
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Shaora Посмотреть сообщение
    Нод удалила. Лог сделала
    Super!
    А теперь бы нам еще лог gmer увидеть

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Лог сделала, но он отказывается загружаться через обычную систему на сайте, говорит что загрузка файла прошла неудачно Наверное потому что в документ лога снова ничего не сохранилось. И в первый раз я не заметила что он не загрузился, видимо по той же причине.

    Запустила гмер на полное сканирование системы, как он предлагал после скоростной проверки. Сразу что-то начало отслеживаться. Как он закончит, сохраню лог и приложу к сообщению

    Собственно вот лог
    Вложения Вложения
    • Тип файла: log gmer.log (36.9 Кб, 11 просмотров)
    Последний раз редактировалось Rene-gad; 23.08.2009 в 17:31.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Выполните в Gmer

    Код:
    sy691ljb.exe -del services hdhwrnhwf                                
    sy691ljb.exe -del services kbiwkmbrsynpej
    sy691ljb.exe -del services kdylxdkoi
    sy691ljb.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hdhwrnhwf"
    sy691ljb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hdhwrnhw"
    sy691ljb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmbrsynpej"
    sy691ljb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hdhwrnhwf"
    sy691ljb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmbrsynpej"
    sy691ljb.exe -del reg "C:\Windows\system32\uenrun.dll"
    sy691ljb.exe -del reg "C:\Windows\system32\drivers\kbiwkmmrvifpju.sys"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmsmcwipgr.dll"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmxcoeovpw.dat"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmxpktboip.dll"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmxxfwkuiw.dat"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmwsp.dll"
    sy691ljb.exe -reboot
    После перезагрузки повторите лог gmer

  10. #9
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Ругается. Пишет:
    DeleteKey: Указаный ключ соответстия не обнаружен ни в одном из аквтивных контекстов активации.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Shaora Посмотреть сообщение
    Ругается.
    А перезагрузка прошла? Если да- делайте повторный лог гмер, если нет - тогда такой фокус:

    Код:

    Код:
    sy691ljb.exe -del services hdhwrnhwf                                
    sy691ljb.exe -del services kbiwkmbrsynpej
    sy691ljb.exe -del services kdylxdkoi
    sy691ljb.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hdhwrnhwf"
    sy691ljb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hdhwrnhw"
    sy691ljb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmbrsynpej"
    sy691ljb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hdhwrnhwf"
    sy691ljb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmbrsynpej"
    sy691ljb.exe -del reg "C:\Windows\system32\uenrun.dll"
    sy691ljb.exe -del reg "C:\Windows\system32\drivers\kbiwkmmrvifpju.sys"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmsmcwipgr.dll"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmxcoeovpw.dat"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmxpktboip.dll"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmxxfwkuiw.dat"
    sy691ljb.exe -del reg "C:\Windows\system32\kbiwkmwsp.dll"
    sy691ljb.exe -reboot
    скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл sy691ljb.exe=gmer.exe под именем 123.bat и запустите двойным щелчком.
    После перезагрузки повторите лог gmer.

  12. #11
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Зависла, мне пришлось включать перезагрузку прямо в процессе загрузки и выбирать пункт Загрузка с последней удачной конфигурацией (или примерно так) Сделать логи гмера?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Shaora Посмотреть сообщение
    Сделать логи гмера?
    Да

  14. #13
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Лог
    Вложения Вложения
    • Тип файла: log gmer.log (26.0 Кб, 4 просмотров)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Выполните в Gmer

    Код:
    bmlvbgl8.exe -del service hdhwrnhwf
    bmlvbgl8.exe -del service kdylxdkoi
    bmlvbgl8.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kdylxdkoi"
    bmlvbgl8.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kdylxdkoi"                                    
    bmlvbgl8.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kdylxdkoi"
    bmlvbgl8.exe -del file "C:\Windows\system32\uenrun.dll"
    bmlvbgl8.exe -del file "C:\Windows\system32\drivers\kbiwkmmrvifpju.sys"
    bmlvbgl8.exe -del file "C:\Windows\system32\kbiwkmsmcwipgr.dll"
    bmlvbgl8.exe -del file "C:\Windows\system32\kbiwkmxcoeovpw.dat"
    bmlvbgl8.exe -del file "C:\Windows\system32\kbiwkmxpktboip.dll"
    bmlvbgl8.exe -del file "C:\Windows\system32\kbiwkmxxfwkuiw.dat"
    bmlvbgl8.exe -del file "C:\Windows\system32\kbiwkmwsp.dll"
    bmlvbgl8.exe -reboot
    После перезагрузки повторите лог gmer

    ПС: сорри, я в первом батнике ошибочку допустил, поэтому gmer и ругался
    Последний раз редактировалось Rene-gad; 23.08.2009 в 18:35.

  16. #15
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    О чем речь, вы один весь день на весь раздел трудитесь, никаких претензий
    Вот только гмер все равно ругается и ворчит.

    An error 0x00000002 occured during the deletion of file: "C:Windows\system32\uenrun.dll": Указанный ключ соответствия не обнаружен ни в одном из активных контекстов активации.

    Может я что-то не так делаю? Может нужно при запуске гмера сначала дать ему провести полное сканирование или где какую галочку выставить?
    Вот лог свеженький
    Вложения Вложения
    • Тип файла: log gmer.log (18.7 Кб, 4 просмотров)

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (effvv80z.exe)
    Код:
    effvv80z.exe -del service hdhwrnhwf
    effvv80z.exe -del file "C:\Windows\system32\uenrun.dll"
    effvv80z.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hdhwrnhwf"
    effvv80z.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hdhwrnhwf"
    effvv80z.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Файл запустила. Система много раз уточняла моей ли рукой запущена сия программа Потом заругалась, сначала по варианту №2 об ошибке с кучей нулей, потом по варианту №1 про ключ. Потом сама себя перезагрузила (раньше мне приходилось закрывать программу, потому что та без конца выдавала одно и то же сообщение про ошибку, и только после закрытия наступала перезагрузка). Но при загрузке снова зависла на страничке с бегунком. Восстановила последнюю удачную конфигурацию. Гмер перестал ругаться на модификацию системы. Вот лог.
    Вложения Вложения
    • Тип файла: log gmer.log (13.7 Кб, 4 просмотров)

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Shaora Посмотреть сообщение
    Может я что-то не так делаю? Может нужно при запуске гмера сначала дать ему провести полное сканирование или где какую галочку выставить?
    Нет, не надо Все что надо - написано в инструкции и Вы следуете ей
    Лог чистый.
    Жалобы/проблемы есть?
    Если Да - обновите базы АВЗ и повторите логи по правилам.

  20. #19
    Junior Member Репутация
    Регистрация
    17.08.2009
    Сообщений
    10
    Вес репутации
    32
    Проблем не наблюдается после введения первого же скрипта Проверю машинку на антивирусе, но думаю вы мне все сумели отловить и вывести. Так что большое вам спасибо за помощь и внимание!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Shaora, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 16
      Последнее сообщение: 01.09.2009, 04:51
    2. Ответов: 12
      Последнее сообщение: 20.08.2009, 12:36
    3. Ответов: 21
      Последнее сообщение: 16.08.2009, 22:43
    4. Ответов: 7
      Последнее сообщение: 21.07.2009, 13:59
    5. Ответов: 25
      Последнее сообщение: 08.07.2009, 13:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00468 seconds with 17 queries