Jump to content

TermDD.sys инфицирован...


Recommended Posts

-=-=-

Здравствуйте!

Комп брата поймал заразу - NOD32 сообщает:

Файл C:\WINDOWS\System32\Drivers\TempDD.sys инфицирован - Win32/Olmarik.ZC троянская программа

После этого NOD32 кидает этот файл в карантин, Какая-то программа или сама система создает новый там же, и так много сотен раз...

Прошу Вашей помощи - все действия провел и логи прилагаю!

СПАСИБО!

=-=-=

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Edited by Iomhar Dealgach
Link to comment
Share on other sites

=-=-=

После AVZ4 стандартных скриптов и перезагрузки:

NOD32 один раз словил и убрал в свой карантин Win32/Olmarik.ZC еще в других файлах:

C:\WINDOWS\System32\drivers\OLD72F.tmp

C:\WINDOWS\System32\dllcache\termdd.sys.new

По ходу еще 72 Win32/Olmarik.ZC в C:\WINDOWS\System32\Drivers\TempDD.sys

Но после очистки карантина пока тихо...

DrWeb ничего не нашел после перезагрузки - лог прилагаю!

Ну и обновляю еще раз логи других инструментов...

Посмотрите теперь... Есть ли еще зараза и может ли она проявить себя через некоторое время?

СПАСИБО!!!

-=-=-

drweb32w.log

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

drweb32w.log

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('j:\autorun.inf','');QuarantineFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll','');DeleteFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll');DeleteFile('j:\autorun.inf');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);RebootWindows(true);end.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Вы поаккуратней с портабельным софтом, проблем не оберетесь.

Повторите логи

Link to comment
Share on other sites

Тут уже A0030112.dll отловился NOD32, а j:\autorun.inf - это полезная вакцина Panda USB Vaccine, это даже нечитаемый пустой файл 16 байт, его только форматирование убирает.

Надо редактировать скрипт и выполнять его потом?

MBAM прогоню и отчитаюсь позже... (МВАМ у меня правда тоже портабельная :-) )...

СПАСИБО!

Edited by Iomhar Dealgach
Link to comment
Share on other sites

Скачал-поставил-обновил-прогнал нормальную...

Что-то она еще подчистила...

Лог прилагаю...

Теперь выполнять скрипт AVZ или уже не надо?

СПАСИБО!!!

mbam_log_2010_05_13__23_03_07_.txt

mbam_log_2010_05_13__23_03_07_.txt

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...