Есть подозрение на RootKit

[Super]

Уважаемые коллеги!

Вынужден вторично запросить у Вас помощи!

- notebook FSC Pentium M 1.7 1Gb RAM HDD 80Gb MS Windows XP Home edition 2002 SP2 rus

KAV 7.0.1.325 + DrWeb Cure It + AntiMalware

 

1. KAV поймал какую-то дрянь и забил ее. После этого ПК стал несанкционированно перегружаться.

Провел откат системы на 10 дней назад.

 

2. проверил систему доктором в безопасном режиме и каспером - чисто. AntiMalware в безопасном режиме - что-то нашел

 

нужна помощь, заранее благодарю

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Falcon]

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\sm56hlpr.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните следующий скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите.

Изменено 9 февраля, 2009 пользователем Falcon

[akoK]

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Изменено 9 февраля, 2009 пользователем akoK

[Super]

В аттаче лог-файлы после лечения

 

to akoK

 

результат после 2 применения процесса

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

========== REGISTRY ==========

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\cch~38d5e75f.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38d5ef22.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38d6bfec.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38d6c7d2.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38da5a34.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38daa197.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38db453d.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38db501e.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38dbe621.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38dbee3c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~391a4ccb.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~391a59d1.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3a433f53.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3a434f0c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ca9bb2c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ca9cd19.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3caa99e8.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3caac8f7.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd28b38.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd29cfe.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd471af.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd47f0c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3e442fb1.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3e449aaf.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ee300b5.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ee30dbc.htp scheduled to be deleted on reboot.

Windows Temp folder emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02102009_211620

 

Есть еще вопросы:

1. в автозапуске есть активная библиотека appmgmts.dll - это безопасно?

2. в system32\drivers есть 2 файла klif.sys и kl1.sys - они тоже меня беспокоят

 

С уважением

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

2. в system32\drivers есть 2 файла klif.sys и kl1.sys - они тоже меня беспокоят

 

Это касперский.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\stmctrl.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Проблема всё та же? В корзине это ваше? Очистите её.

[Super]

Всем привет!

В аттаче логи, вроде все работает.

 

Благодарю за помощь и внимание!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log