При сканировании с AVG было обнаружено 15 руткитов в системных файлахtracking cookie

**Galina Chanova** · 11.12.2012, 16:01

Здравствуйте!

При сканировании всего компьютера антивирусной программой AVG [пытаюсь сканировать время от времени разными антивирусниками - Касперски, Dr.Web, AVG, NOD32 и др.] было обнаружено 15 руткитов, но они находились в системных файлах, которые нельзя было удалить / переместить из-за их критической важности.

вот они:

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработч ик IRP, \Driver\PCIIde IRP_MJ_PNP -> PCIIDEX.SYS PciIdeXDebugPrint+0x2D80";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработч ик IRP, \Driver\PCIIde IRP_MJ_POWER -> PCIIDEX.SYS +0x692";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработч ик IRP, \Driver\PCIIde IRP_MJ_SYSTEM_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2DB4";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработч ик IRP, \Driver\PCIIde IRP_MJ_INTERNAL_DEVICE_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2E38";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_DEVICE_CONTROL -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_INTERNAL_DEVICE_CONTROL -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_WRITE -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_SYSTEM_CONTROL -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_PNP -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_READ -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_CLOSE -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_POWER -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработ чик IRP, \Driver\hidusb IRP_MJ_CREATE -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Обработ чик IRP, \Driver\Disk IRP_MJ_SYSTEM_CONTROL -> CLASSPNP.SYS ClassInitialize+0x666";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Обработ чик IRP, \Driver\Disk IRP_MJ_PNP -> CLASSPNP.SYS ClassDebugPrint+0x713";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

После сканировала компьютер через TDSSKiller нашло 1 только подозрительный:

08:06:59.0484 2556 Scan finished
08:06:59.0484 2556 ================================================== ==========
08:06:59.0500 2672 Detected object count: 1
08:06:59.0500 2672 Actual detected object count: 1
08:07:28.0609 2672 C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
08:07:28.0609 2672 sptd ( LockedFile.Multi.Generic ) - User select action: Quarantine

потом ещё раз сканировала и снова его обнаружило, я просто удалила файл - C:\WINDOWS\system32\Drivers\sptd.sys
и после уже TDSSKiller ничего не находил!!!

Panda Anti-Rootkit никаких руткитов или подозрительных файлов не нашла.

Mcafee Rootkit Detective нашло 4 Hidden Registry Keys и я их удалила, перезагрузила всё очередной раз, просканировала снова и уже ничего ни одна из программ для сканирования компьютера на вирусы / руткиты ничего не находила.

Но я так и не поняла - все эти 15 руткитов, которые сразу были обнаружены в системных файлах - куда они делись? ведь удалить их антивирусник не мог, в карантин отослать - тоже "НЕТ"! вручную удалять системные файлы с папки драйверов - стрёмно как-то - потом и вся винда полетит; в добавок ко всему их не обнаружили TDSSKiller, Panda Anti-Rootkit, Mcafee Rootkit Detective... так как же их всё же найти и удалить? [к стати их avz4 и HijackThis тоже не нашли, avz4 троян один нашёл и какой-то 1 подозрительный файл]

Подскажите, пожалуйста!

И ещё, буквально за неделю-две до этого AVG начал находить при сканировании tracking cookie.yadro - я смотрела похожие случаи здесь на форуме и видела, что Вы помогали найти решение и с этим, хотя с tracking cookie.yadro последнее время затишье - я их удалила вручную через TotalComander нашла, и всё хорошенько CCleaner'ом почистила - больше пока их не видно... я просто и об этом написала - вдруг это всё взаимосвязано: причина и следствие... кто его знает?

Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.12.2012, 16:04

Уважаемый(ая) Galina Chanova, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Galina Chanova** · 11.12.2012, 19:49

теперь уже вообще выскочило какое-то новое подключение!!!! [TV] 32LM66OT-ZA
вот скрин - http://livelegend.ucoz.com/graffiti/...s_ili_chto.jpg
я сразу поняла, что это вылезли наружу эти руткиты, уже в наглую на рабочий стол

начала всё сканировать и AVG нашёл сразу один руткит, получилось даже его удалить - вот скрин - http://livelegend.ucoz.com/graffiti/...li_chto001.jpg - но нужна была перезагрузка... а я сразу поставила дальше сканировать весь комп и в итоге AVG нашёл ещё около 10 руткитов и откуда-то 5 троянов, хотя уже второй день всеми лучшими антивируснивами, утилитами и прочей братией комп сканировала и никаких червей и троянов в помине не было!!! а сейчас после вылазки руткитов откуда-то появились трояны!
не знаю чего делать? как их удалить окончательно, как обнаружить и обезвредить? и как они вообще попали мне на комп - ведь не лажу по непонятным сайтам вообще.
последний раз поставила комп на сканирование и пока 85% - без вирусов и руткитов - но так и не понятно, они все были удалены или просто спрятались в другом месте? так как выбрать всем руткитам действие "УДАЛИТЬ" я не успела, так как комп просто начал перезагружаться, потому что для удаления одного нужна была перезагрузка...
просто не знаю что делать

**Techno** · 11.12.2012, 20:27

Searchqu Toolbar Удалите через установку/удаление программ.

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Thinstall\Microsoft Office Enterprise 2007\40000010700002i\chrome.exe','');
 QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
 QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll','');
 QuarantineFile('C:/QGNA/qgna.exe','');
 DeleteFile('C:/QGNA/qgna.exe');
 DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll');
 DeleteFile('C:\WINDOWS\system32\rebuild.exe');
 DelBHO('{CCC7A320-B3CA-4199-B1A6-9F516DD69829}');
 DelBHO('{99079a25-328f-4bd4-be04-00955acaa0a7}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameNet');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-606747145-602162358-839522115-1006\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
 DeleteFileMask('C:\PROGRA~1\SEARCH~1','*',true);
 DeleteDirectory('C:\PROGRA~1\SEARCH~1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Установите SP3 (может потребоваться активация), а также все доступные обновления для Windows

- Повторите логи.

- Сделайте лог полного сканирования MBAM.

**Galina Chanova** · 12.12.2012, 21:12

Searchqu Toolbar в установке/удаление программ - нет вообще этой проги
думала удалить вручную везде на диске C, но C:\Program Files нет Searchqu Toolbar

скрипты АВЗ, обновления и т.д. делаю - потом скину всё необходимое - просто непонятки с удалением Searchqu Toolbar возникли

- - - Добавлено - - -

Файл quarantine.zip из папки AVZ загрузила

далее установлю SP3 и обновления Windows, а потом лог полного сканирования