Rootkit.Win32.Podnuha.zx

[mfran75]

Здравствуйте !

 

Пару дней назад, при запуске IE неожиданно

появилось сообщение с заголовком "Sanitar Diska".

 

После этого данное сообщение стало появляться

регулярно, при этом стала открываться какая-то

интернет-страница, где предлагается скачать

и установить какую-то программу

"для уничтожения компроментирующих доказательств".

Конечно я ничего не устанавливал, а сразу закрывал.

 

Скорость работы компьютера заметно упала ,

часто система вообще надолго зависает.

Стало очевидно, что в системе (Win 2000) сидит

какой-то нехороший вирус.

 

Однако лицензионный Dr.Web ничего не находит.

 

Я стал изучать данную тему в паутине, и нашел

программу AVZ4, которая, судя по ее описанию,

может помочь. И действительно, после сканирования

с ее помощью, оказалось что ряд файлов и процессов

инфецированы вирусом "Rootkit.Win32.Podnuha.zx".

 

Однако программа вылечить эту заразу

не смогла..

 

После этого я увидел этот форум, снес Dr.Web

и проделал все тесты по Вашей инструкции.

 

Файлы прилагаю.

 

Надеюсь на Вашу помощь.

 

С уважением,

Максим

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[Гриша]

Отключите антивирус!

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINNT\system32\nvco.dll','');
QuarantineFile('D:\WINNT\system32\advpac.dll','');
QuarantineFile('D:\WINNT\system32\nvnt4cp.dll','');
QuarantineFile('D:\WINNT\system32\nvwdmcp.dll','');
QuarantineFile('D:\WINNT\system32\t2embe.dll','');
QuarantineFile('D:\WINNT\system32\faxper.dll','');
QuarantineFile('D:\WINNT\system32\dmoc.dll','');
QuarantineFile('D:\WINNT\system32\msihn.dll','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{3ADBF772-613D-4C3F-984C-5389AE79549A}');
QuarantineFile('D:\WINNT\iexplorer.exe','');
QuarantineFile('D:\WINNT\system32\icmu.dll','');
DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('D:\WINNT\system32\icmu.dll');
DeleteFile('D:\WINNT\iexplorer.exe');
DeleteFile('D:\WINNT\system32\msihn.dll');
DeleteFile('D:\WINNT\system32\dmoc.dll');
DeleteFile('D:\WINNT\system32\faxper.dll');
DeleteFile('D:\WINNT\system32\t2embe.dll');
DeleteFile('D:\WINNT\system32\nvwdmcp.dll');
DeleteFile('D:\WINNT\system32\nvnt4cp.dll');
DeleteFile('D:\WINNT\system32\advpac.dll');
DeleteFile('D:\WINNT\system32\nvco.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');	
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

[mfran75]

Здравствуйте, новые файлы высылаю.

 

Пока все работает ОК.

 

Огромное спасибо,

Максим

HiJackThis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINNT\system32\iashlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Жалобы есть?

[mfran75]

Большое спасибо.

 

Видимых проблем больше нет.

 

На всякий случай высылаю последнии логи.

 

С уважением,

Максим

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[SLASH_id]

Похоже чисто...

[Гриша]

В логах чисто...

[mfran75]

Спасибо огромное !