Junior Member
Вес репутации
60
vista загружается только в safe mode после нашествия Rootkit.Win32.Small.bk
ОСь не запускается, кроме как в безопасном режиме. (В обычном, тормозит, диспетчер задач не отвечает, загрузка проца 100%) Произошло это после того как KIS нашел Rootkit.Win32.Small.bk в C:\Windows\System32\drivers\synsenddrv.sys
Кроме того AVZ нашел 47 одинаковых файлов hpqcxs08.exe в ~username\temp с подозрением на трояна (их я удалил от греха подальше)
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Курейтом делали проверку?
Junior Member
Вес репутации
60
Сообщение от
Гриша
Курейтом делали проверку?
да, ничего не нашел
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('zbdjrlpokeiwkbe');
DeleteService('xutspcafzayis');
DeleteService('vwlhbvtoobqf');
DeleteService('usoggxns');
DeleteService('uhexwlzcsgcfwl');
DeleteService('ufxjscb');
DeleteService('tvjjxmpcvwv');
DeleteService('svigr');
DeleteService('ryhrzxhkfreafe');
DeleteService('rxgwmpltur');
DeleteService('qosfteeb');
DeleteService('qeuyfxdvg');
DeleteService('pyndrmxjiehq');
DeleteService('ordumvytiluq');
QuarantineFile('C:\Windows\system32\drivers\vakahygarme.sys','');
QuarantineFile('C:\Windows\system32\drivers\mfpeoc.sys','');
QuarantineFile('C:\Windows\system32\drivers\pxtfvmr.sys','');
QuarantineFile('C:\Windows\system32\drivers\uycwh.sys','');
QuarantineFile('C:\Windows\system32\drivers\nnqvpy.sys','');
QuarantineFile('C:\Windows\system32\drivers\kwiesbazaxbeenl.sys','');
QuarantineFile('C:\Windows\system32\drivers\zrizdysdzq.sys','');
QuarantineFile('C:\Windows\system32\drivers\gyrlrzbdsn.sys','');
QuarantineFile('C:\Windows\system32\drivers\egcnbcr.sys','');
QuarantineFile('C:\Windows\system32\drivers\kwitxmm.sys','');
QuarantineFile('C:\Windows\system32\drivers\sjofoeqrktwi.sys','');
QuarantineFile('C:\Windows\system32\drivers\oikambyhtk.sys','');
QuarantineFile('C:\Windows\system32\drivers\kmlrgmtvspbjvz.sys','');
QuarantineFile('C:\Windows\system32\drivers\kvmtdrftxvyytu.sys','');
DeleteService('kgxzrmmppu');
DeleteService('knriemd');
DeleteService('lhfmos');
DeleteService('lschwwghz');
DeleteService('mqjcmpgdhphgx');
DeleteService('mxxnfdg');
DeleteService('ndkjl');
QuarantineFile('C:\Windows\system32\drivers\wpgimbnosohjk.sys','');
QuarantineFile('C:\Windows\system32\drivers\qfeunlmkhjcpv.sys','');
QuarantineFile('C:\Windows\system32\drivers\nbsvtbky.sys','');
QuarantineFile('C:\Windows\system32\drivers\sgxgsq.sys','');
QuarantineFile('C:\Windows\system32\drivers\oyzchbew.sys','');
QuarantineFile('C:\Windows\system32\drivers\qywfdby.sys','');
QuarantineFile('C:\Windows\system32\drivers\vfzjwstcqciupq.sys','');
DeleteService('irforhcvjtiopkm');
QuarantineFile('C:\Windows\system32\drivers\ovamlcy.sys','');
QuarantineFile('C:\Windows\system32\drivers\ndixkfxsxn.sys','');
QuarantineFile('C:\Windows\system32\drivers\bniatl.sys','');
QuarantineFile('C:\Windows\system32\drivers\miuefmioj.sys','');
QuarantineFile('C:\Windows\system32\drivers\vjtqrbimo.sys','');
QuarantineFile('C:\Windows\system32\drivers\wiifnblitiykg.sys','');
QuarantineFile('C:\Windows\system32\drivers\szhbjywpodpp.sys','');
DeleteService('dzkvklexymdskm');
DeleteService('edgvnnf');
DeleteService('egflsfogoy');
DeleteService('ewonqcpxjwqz');
DeleteService('fnmhhdzghz');
DeleteService('hnptrov');
QuarantineFile('C:\Windows\system32\drivers\pdkxknbjpdy.sys','');
QuarantineFile('C:\Windows\system32\drivers\crsphpecjscprzs.sys','');
DeleteService('czudabrhzempzmb');
QuarantineFile('C:\Windows\system32\drivers\noqjkcrr.sys','');
DeleteService('bmkiumo');
QuarantineFile('C:\Windows\system32\drivers\klmzrr.sys','');
DeleteFile('C:\Windows\system32\drivers\klmzrr.sys');
DeleteFile('C:\Windows\system32\drivers\noqjkcrr.sys');
DeleteFile('C:\Windows\system32\drivers\crsphpecjscprzs.sys');
DeleteFile('C:\Windows\system32\drivers\pdkxknbjpdy.sys');
DeleteFile('C:\Windows\system32\drivers\bniatl.sys');
DeleteFile('C:\Windows\system32\drivers\miuefmioj.sys');
DeleteFile('C:\Windows\system32\drivers\vjtqrbimo.sys');
DeleteFile('C:\Windows\system32\drivers\wiifnblitiykg.sys');
DeleteFile('C:\Windows\system32\drivers\szhbjywpodpp.sys');
DeleteFile('C:\Windows\system32\drivers\vfzjwstcqciupq.sys');
DeleteFile('C:\Windows\system32\drivers\qywfdby.sys');
DeleteFile('C:\Windows\system32\drivers\oyzchbew.sys');
DeleteFile('C:\Windows\system32\drivers\nbsvtbky.sys');
DeleteFile('C:\Windows\system32\drivers\qfeunlmkhjcpv.sys');
DeleteFile('C:\Windows\system32\drivers\wpgimbnosohjk.sys');
DeleteFile('C:\Windows\system32\drivers\kvmtdrftxvyytu.sys');
DeleteFile('C:\Windows\system32\drivers\kmlrgmtvspbjvz.sys');
DeleteFile('C:\Windows\system32\drivers\oikambyhtk.sys');
DeleteFile('C:\Windows\system32\drivers\dvkpfwpfs.sys');
DeleteFile('C:\Windows\system32\drivers\lktef.sys');
DeleteFile('C:\Windows\system32\drivers\sjofoeqrktwi.sys');
DeleteFile('C:\Windows\system32\drivers\kwitxmm.sys');
DeleteFile('C:\Windows\system32\drivers\egcnbcr.sys');
DeleteFile('C:\Windows\system32\drivers\gyrlrzbdsn.sys');
DeleteFile('C:\Windows\system32\drivers\zrizdysdzq.sys');
DeleteFile('C:\Windows\system32\drivers\kwiesbazaxbeenl.sys');
DeleteFile('C:\Windows\system32\drivers\nnqvpy.sys');
DeleteFile('C:\Windows\system32\drivers\uycwh.sys');
DeleteFile('C:\Windows\system32\drivers\pxtfvmr.sys');
DeleteFile('C:\Windows\system32\drivers\mfpeoc.sys');
DeleteFile('C:\Windows\system32\drivers\vakahygarme.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
60
карантин прислал через встроенную форму "прислать запрошенный файл"... пришло?
Junior Member
Вес репутации
60
невозможно с помощью скрипта удалить файлы вида C:\Windows\system32\drivers\ndixkfxsxn.sys
после перезаррузки появляются снова
(работаю только в safe mode)
Загрузку последней удачной конфигурации пробовали? Все что я удаляю это руткиты, ни Доктор ни Касперский пока не знают, есть шанс еще такого рода, берете весь ваш карантин, пакуете с паролем "virus" отсылаете его в ВирЛаб Доктора по адресу [email protected] , они смастерят детект, если нужно лечение, затем через 4-5 часов вы качаете CureIT и делете полную проверку в Safe Mode...
Junior Member
Вес репутации
60
я так и знал! второй раз на "первенца" попадаю Спасибо за помощь
Касперский теперь знает как Rootkit.Win32.Agent.etv
Junior Member
Вес репутации
60
да, нашел зловредов проверям дальше...