Помогите удалить Rootkit.Win32.Agent.ikz и Trojan-Dropper.Win32.Agent.alhs

[n060dy]

Добрый день.

 

Поймали вирусы, касперский определяет их как Rootkit.Win32.Agent.ikz и Trojan-Dropper.Win32.Agent.alhs, делает вид что удаляет их и после перезагрузки они появляются снова. Проверял Cure It он то же нашел троянов и удалил, ситуацию это не изменило. также прогонял Malwarebytes' Anti-Malware, то же находит их и делает вид что удаляет, после перзагрузки все повторяется.

 

hijackthis.log

virusinfo_syscure.zip

 

Еще один лог попытаюсь сейчас доделать. avz отказался запускаться после перзагрузки.

[Falcon]

Здравствуйте! Добро пожаловать на форум!

 

Выполните в AVZ следующий скрипт:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\documents and settings\lvk\lvk.exe');
QuarantineFile('C:\DOCUME~1\lvk\LOCALS~1\Temp\Rar$EX00.031\Christmas.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('c:\documents and settings\lvk\lvk.exe','');
DeleteFile('c:\documents and settings\lvk\lvk.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\DOCUME~1\lvk\LOCALS~1\Temp\Rar$EX00.031\Christmas.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\?i?o?s Desкtор S?r?h.lnk');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002721.exe');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002724.sys');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002725.sys');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002726.sys');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002727.sys');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002728.sys');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002729.sys');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002730.sys');
DeleteFile('C:\System Volume Information\_restore{7DB474A0-72D6-48F8-A45A-224B37BDFC81}\RP20\A0002731.sys');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме).

Как это сделать (пункт №1).

О результате сообщите.

 

Обновите базы AVZ и сделайте новый комплект логов.

Изменено 3 апреля, 2009 пользователем Falcon

[n060dy]

UPD. AVZ не запускается при выключенном касперском. Запустил при включенном, выключил касперский, запустил исполнение скрипта, AVZ повис.

[Falcon]

Эту версию пробуйте, если не будет корректно работать. Изменено 3 апреля, 2009 пользователем Falcon

[n060dy]

Спасибо. Ваша версия сработала. Карантин выслал. Логи делаются.

 

Похоже помогло. Спасибо. Вот новые логи. autorun.inf на диске f: это прививка от panda security.

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

Ответ от Касперского:

 

Здравствуйте,

 

 

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

 

Trojan.Win32.Agent2.hco

[Falcon]

Выполните:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\System32\hidserv.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки отошлите карантин на newvirus@kaspersky.com. Как ответ придет, отпишитесь.

 

А так с заразой вроде разобрались, по крайней мере я больше ничего не заметил, есть в данный момент жалобы?

Изменено 3 апреля, 2009 пользователем Falcon

[akoK]

bonjour - нужен?

 

Пофиксить в HijackThis следующие строчки

	O4 - Global Startup: ?i?o?s Desкtор S?r?h.lnk

 

Как самочуствие?

[Falcon]

Под "bonjour" аКоК имеет ввиду службу Bonjour Service.

 

Что такое Bonjour Service.

Изменено 3 апреля, 2009 пользователем Falcon

[n060dy]

Самочувствие уже нормально. В карантин почему то ничего не попало. Desktop Search удалил совсем. bonjour пока оставил, лучше удалить?