Заражение (руткит)

[BAHEK1987]

Еще у одного знакомого заражение ПК

Антивирус обнаружил рут кит

(проверял авз - авз писал что не мог этот файл переместить - вроде бы так)

 

в общем компьютер Адски зависает

 

(игорь)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz в безопасном режиме

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\locale.exe');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@kaspersky.com

 

Сделайте новые логи в обычном режиме.

[BAHEK1987]

отослал карантин - sysrda32.exe - Backdoor.Win32.Bredolab.hmt

 

все равно аваст пишет обнаружен руткит

 

c/windows/system32/mnmdd.sys

компьютер виснет

 

вот свеженькие логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по mnmdd и выберите "Turn Run Off", потом подтвердите перезагрузку.

 

Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\mnmdd.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\mnmdd.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mnmdd');
BC_DeleteSvcReg('mnmdd');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Сделайте новые логи

[BAHEK1987]

ВОт логи ОСАМ

osam.rar

[миднайт]

Логи AVZ повторите.

[BAHEK1987]

Новые логи ! система виснет по страшному - но через какое то время отвисает

virusinfo_syscheck.zip

virusinfo_syscure.zip

osam.rar

[Roman_Five]

выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\wudfrd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\WudfPf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\WDICA.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDRFRAME.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDRELI.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDFRAME.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDCOMP.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Monfilt.sys','');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\WudfPf.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\WDICA.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDRFRAME.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDRELI.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDFRAME.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDCOMP.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\Monfilt.sys');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\wudfrd.sys');
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится.

выполните скрипт:

begin
CreateQurantineArchive('quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ с этого и прошлого карантина сообщите здесь.

Изменено 13 сентября, 2010 пользователем Roman_Five

[BAHEK1987]

bcqr00001.dat,

bcqr00002.dat,

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

bcqr00009.dat,

bcqr00010.dat,

bcqr00011.dat,

bcqr00012.dat,

bcqr00013.dat,

bcqr00014.dat,

bcqr00015.dat,

bcqr00016.dat,

bcqr00017.dat,

bcqr00018.dat,

bcqr00019.dat,

bcqr00020.dat,

bcqr00021.dat,

bcqr00022.dat,

bcqr00023.dat,

bcqr00024.dat,

Monfilt.sys,

PDCOMP.sys,

PDFRAME.sys,

PDRELI.sys,

PDRFRAME.sys,

WDICA.sys,

WudfPf.sys,

wudfrd.sys - Rootkit.Win32.Agent.biiu

[Roman_Five]

скачайте AVZ 4.35

обновите базы.

сделайте новые логи.

логи прикрепите.

[thyrex]

Файлы, которые брали в карантин в последнем скрипте, замените чистыми из дистрибутива http://virusinfo.info/showthread.php?t=51654