Обнаружен руткит!

[uk55]

Здравствуйте. Именно так аваст реагирует на файл win/system32/winnt32.dll (Win32:Agent-YUH [Trj]). Иногда в локалке пропадает доступ в нет, то есть коннект нормальный а зайти на сайт любой нельзя. больше ничего не заметил. сеть не грузит... че делает не понятно. спасибо.

[Гриша]

Отключите антивирус и интернет!

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\Drivers\Eko72.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Yfj40');
 DeleteService('Yej26');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Yfj40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Yej26.sys','');
 DeleteService('Wch05');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wch05.sys','');
 DeleteService('Vbg72');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vbg72.sys','');
 DeleteService('Uaf04');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf04.sys','');
 DeleteService('Pvb16');
 DeleteService('Pua15');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pua15.sys','');
 DeleteService('otY83');
 DeleteService('Ntx84');
 DeleteService('Mrw37');
 QuarantineFile('C:\WINDOWS\System32\Drivers\otY83.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ntx84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Mrw37.sys','');
 DeleteService('Krw84');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Krw84.sys','');
 DeleteService('Hns62');
 QuarantineFile('C:\WINDOWS\system32\drivers\grmnusb.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hns62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Flq62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Flq05.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Fkq73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ejO84.sys','');
 DeleteService('Din05');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Din05.sys','');
 DeleteService('autorun');
 QuarantineFile('c:\huadio.tmp','');
 DeleteService('Eko72');
 DeleteService('SwPrvClipSrv');
 QuarantineFile('C:\WINDOWS\system32\1041k.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Eko72.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Eko72.sys');
 DeleteFile('C:\WINDOWS\system32\1041k.exe');
 DeleteFile('c:\huadio.tmp');
 DeleteFile('C:\WINDOWS\System32\Drivers\Din05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ejO84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fkp04.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Fkq73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Flq05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Flq62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hns62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Krw84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Mrw37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ntx84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\otY83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pua15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pvb16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uaf04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vbg72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wch05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Yej26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Yfj40.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[uk55]

Файл сохранён как 080701_030658_virus_4869e5a2bc23a.zip
Размер файла 64574
MD5 1e7b6c0c6976c04c29644a99ac453f90
карантин закачал. логи вот. только аваст ругается опять... winnt32.dll остался.

[Гриша]

Напишите полный путь до файла,в логах его не видно

[uk55]

c:/windows/system32/WINNT32.dll
force delete сделал на нем в айссворде - вроде удалился...

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Yfk27');
 DeleteFile('C:\WINDOWS\System32\Drivers\Yfk27.sys');
 DeleteFile('C:\windows\system32\WINNT32.dll ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Yfk27 ');    
BC_Activate;
RebootWindows(true);
end.

Жалобы есть?

[uk55]

жалоб нет спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 94
• В ходе лечения вредоносные программы в карантинах не обнаружены