Symantec нашел Hacktool.Rootkit в sysdrv32.sys [LOG+]

[Pskovadmin]

Падает производительность работы сети. В автозагрузке появился dllcache.exe, появляется вирус Worm.Win32.AutoRun.ezt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
QuarantineFile('C:\Program Files\X-Setup Pro\bin\dcXSPApplet.cpl','');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportAll;
BC_DeleteSvc('sysdrv32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте этот архив по электронной почте на адрес newvirus@kaspersky.com, указав в письме пароль на архив - virus. О результате сообщите.

 

Это ваше?

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pskv.gks.ru
O17 - HKLM\Software\..\Telephony: DomainName = pskv.gks.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB7F77C-4117-4651-A561-8062EC21385F}: NameServer = 10.160.20.5,10.160.20.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pskv.gks.ru
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CB7F77C-4117-4651-A561-8062EC21385F}: NameServer = 10.160.20.5,10.160.20.7

 

Обновите базы AVZ и сделайте новый комплект логов.

[Pskovadmin]

Скрипт на выполнений

Сообщение от модератора User

Убрал лишние цитирование

[Falcon]

Пожалуйста, используйте выборочное цитирование. Ждем новые логи.

[Pskovadmin]

Выполнили скрипты в AVZ. Вирус Worm.win32.Autorun.ezt в System32\drivers\sysdrv32.sys.

 

Сообщение от модератора Falcon

Убрал карантин.

[Falcon]

Этот архив, что вы прикрепили, нужно отослать на newvirus@kaspersky.com

Просто выполните правила оформления запроса заново. Нужны новые логи AVZ(syscheck & syscure) и HijackThis.

[Pskovadmin]

Пожалуйста, используйте выборочное цитирование. Ждем новые логи.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Внимание ! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы и сделайте новые логи.

[Pskovadmin]

Обновите базы и сделайте новые логи.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Выполните:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

ПК перезагрузится.

 

Это мы установили AVZ Process Manager. В выложенных вами логах ничего явного не видать. После выполнения скрипта сделайте новые контрольные логи.

 

Также проверьте файл D:\Fxdrv.sys на Virustotal.com

Ссылку с результатом анализы запостите здесь.

[Pskovadmin]

Удалили следующие файлы и всё, что сними связано из реестра:

1. \WINDOWS\system32\25.scr

\WINDOWS\system32\38.scr

\WINDOWS\system32\40.scr

\WINDOWS\system32\46.scr и т.д., которые быстро размножались

2. \WINDOWS\system\dllcache.exe

 

Пока всё работает, вирусы не появляются. Спасибо за помощь!

[Falcon]

Да вроде не за что, всегда рады, обращайтесь.