Iomhar Dealgach Posted May 12, 2010 Report Share Posted May 12, 2010 (edited) -=-=- Здравствуйте! Комп брата поймал заразу - NOD32 сообщает: Файл C:\WINDOWS\System32\Drivers\TempDD.sys инфицирован - Win32/Olmarik.ZC троянская программа После этого NOD32 кидает этот файл в карантин, Какая-то программа или сама система создает новый там же, и так много сотен раз... Прошу Вашей помощи - все действия провел и логи прилагаю! СПАСИБО! =-=-= hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Edited May 12, 2010 by Iomhar Dealgach Quote Link to comment Share on other sites More sharing options...
edde Posted May 12, 2010 Report Share Posted May 12, 2010 Скачайте Dr.Web LiveCD запустите проверку Доложитесь о результатах, повторте логи Quote Link to comment Share on other sites More sharing options...
Iomhar Dealgach Posted May 12, 2010 Author Report Share Posted May 12, 2010 =-=-= После AVZ4 стандартных скриптов и перезагрузки: NOD32 один раз словил и убрал в свой карантин Win32/Olmarik.ZC еще в других файлах: C:\WINDOWS\System32\drivers\OLD72F.tmp C:\WINDOWS\System32\dllcache\termdd.sys.new По ходу еще 72 Win32/Olmarik.ZC в C:\WINDOWS\System32\Drivers\TempDD.sys Но после очистки карантина пока тихо... DrWeb ничего не нашел после перезагрузки - лог прилагаю! Ну и обновляю еще раз логи других инструментов... Посмотрите теперь... Есть ли еще зараза и может ли она проявить себя через некоторое время? СПАСИБО!!! -=-=- drweb32w.log hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip drweb32w.log hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
edde Posted May 12, 2010 Report Share Posted May 12, 2010 Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('j:\autorun.inf','');QuarantineFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll','');DeleteFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll');DeleteFile('j:\autorun.inf');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);RebootWindows(true);end. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Вы поаккуратней с портабельным софтом, проблем не оберетесь. Повторите логи Quote Link to comment Share on other sites More sharing options...
Iomhar Dealgach Posted May 13, 2010 Author Report Share Posted May 13, 2010 (edited) Тут уже A0030112.dll отловился NOD32, а j:\autorun.inf - это полезная вакцина Panda USB Vaccine, это даже нечитаемый пустой файл 16 байт, его только форматирование убирает. Надо редактировать скрипт и выполнять его потом? MBAM прогоню и отчитаюсь позже... (МВАМ у меня правда тоже портабельная :-) )... СПАСИБО! Edited May 13, 2010 by Iomhar Dealgach Quote Link to comment Share on other sites More sharing options...
edde Posted May 13, 2010 Report Share Posted May 13, 2010 Нормальную версию скачайте обновите базы. Или непонятно написано? Quote Link to comment Share on other sites More sharing options...
Iomhar Dealgach Posted May 13, 2010 Author Report Share Posted May 13, 2010 Скачал-поставил-обновил-прогнал нормальную... Что-то она еще подчистила... Лог прилагаю... Теперь выполнять скрипт AVZ или уже не надо? СПАСИБО!!! mbam_log_2010_05_13__23_03_07_.txt mbam_log_2010_05_13__23_03_07_.txt Quote Link to comment Share on other sites More sharing options...
akoK Posted May 14, 2010 Report Share Posted May 14, 2010 Что с проблемами? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.