Jump to content
СофтФорум - всё о компьютерах и не только

TermDD.sys инфицирован...


Recommended Posts

-=-=-

Здравствуйте!

Комп брата поймал заразу - NOD32 сообщает:

Файл C:\WINDOWS\System32\Drivers\TempDD.sys инфицирован - Win32/Olmarik.ZC троянская программа

После этого NOD32 кидает этот файл в карантин, Какая-то программа или сама система создает новый там же, и так много сотен раз...

Прошу Вашей помощи - все действия провел и логи прилагаю!

СПАСИБО!

=-=-=

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Edited by Iomhar Dealgach
Link to comment
Share on other sites

=-=-=

После AVZ4 стандартных скриптов и перезагрузки:

NOD32 один раз словил и убрал в свой карантин Win32/Olmarik.ZC еще в других файлах:

C:\WINDOWS\System32\drivers\OLD72F.tmp

C:\WINDOWS\System32\dllcache\termdd.sys.new

По ходу еще 72 Win32/Olmarik.ZC в C:\WINDOWS\System32\Drivers\TempDD.sys

Но после очистки карантина пока тихо...

DrWeb ничего не нашел после перезагрузки - лог прилагаю!

Ну и обновляю еще раз логи других инструментов...

Посмотрите теперь... Есть ли еще зараза и может ли она проявить себя через некоторое время?

СПАСИБО!!!

-=-=-

drweb32w.log

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

drweb32w.log

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('j:\autorun.inf','');QuarantineFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll','');DeleteFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll');DeleteFile('j:\autorun.inf');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);RebootWindows(true);end.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Вы поаккуратней с портабельным софтом, проблем не оберетесь.

Повторите логи

Link to comment
Share on other sites

Тут уже A0030112.dll отловился NOD32, а j:\autorun.inf - это полезная вакцина Panda USB Vaccine, это даже нечитаемый пустой файл 16 байт, его только форматирование убирает.

Надо редактировать скрипт и выполнять его потом?

MBAM прогоню и отчитаюсь позже... (МВАМ у меня правда тоже портабельная :-) )...

СПАСИБО!

Edited by Iomhar Dealgach
Link to comment
Share on other sites

Скачал-поставил-обновил-прогнал нормальную...

Что-то она еще подчистила...

Лог прилагаю...

Теперь выполнять скрипт AVZ или уже не надо?

СПАСИБО!!!

mbam_log_2010_05_13__23_03_07_.txt

mbam_log_2010_05_13__23_03_07_.txt

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...