Подозрение на руткит, недоступны элементы панели управления

**BorodaMC** · 16.02.2009, 11:01

Приветствую и прошу помощи.

Система Windows Vista

Симптомы:
Первоначально вирус обнаружил себя в том, что после короткого времени работы (5-10 минут) бесследно вылетали броузер (Avant Browser) и Word, без сообщения о каких-либо ошибках.

Прогнал NODом в обычном режиме - обнаружил wJQs.exe - вычистил. Но проблема осталась. Плюс к тому, обнаружил, что недоступны элементы панели управления (в ней вообще пусто при обычной загрузке), также недоступны свойства компьютера, сети и, соответственно, нет возможности отключить восстановление системы.

Так же при обычной загрузке антивирус AVG находит в папке C:\Windows\System32\Drivers файл с названием вида a2345h23.sys (начинается всегда на "а", число-буквенная комбинация, расширение .sys) с подозрением на руткит. Удаляется только при перезагрузке. Но на его месте появляется другой с другим именем.

В безопасном режиме прогонял CureIt'ом - ничего, прогнал он-лайновым F-Secure - нашел вирус A.exe в папке Avant Browser'а.

Поскольку на данный момент на той машине нет интернета, прилагаю только 2 файла.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 16.02.2009, 11:57

a2345h23.sys скорее всего от Даемона.

Добавлено через 3 минуты

Первое что надо: определиться с а/вирусом. Я увидел АВГ, Симантек, Нод.
Это много, но бесполезно.
Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('msansspc.dll','');
 DeleteFile('msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин.

**BorodaMC** · 16.02.2009, 12:32

Что бесполезно - уже вижу(

Скрипт выполнил, но папка с карантином за сегодняшнее число - пуста

**PavelA** · 16.02.2009, 12:59

Лог АВЗ один повторите.

**BorodaMC** · 16.02.2009, 13:19

Нужен avz_log.txt или еще раз запустить скрипт сбора информации?

**PavelA** · 16.02.2009, 13:20

Скрипт сбора запустите.

**BorodaMC** · 16.02.2009, 13:35

Прогнал скрипт сбора.
Архив прикрепляю.

**light59** · 16.02.2009, 17:17

в AVZ

Код:

Begin
 ExecuteRepair(6);
 ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Сообщите, что с проблемами.
Оставить только один АВ, остальные деинсталлируйте.

**BorodaMC** · 16.02.2009, 18:40

Прибил Symantec и NOD, оставил AVG.

Скрипт выполнил, но по прежнему недоступны элементы панели управления, свойства (по правому клику) сети и "компьютера", в папке "пользователи" - недоступна папка "Default User", а также в папке текущего пользователя - "Application Data", "Cookies", "Главное меню" и т.п.

Добавлено через 3 минуты

В папке текущего пользователя наблюдаю следущие файлы:

ntuser.dat{203b15f4-b59a-11dd-b704-00a0d170200e}.TM.blf
ntuser.dat{203b15f4-b59a-11dd-b704-00a0d170200e}.TMContainer00000000000000000001.regt rans-ms
ntuser.dat{203b15f4-b59a-11dd-b704-00a0d170200e}.TMContainer00000000000000000002.regt rans-ms

Безопасны или можно прибить?

Подозрение на руткит, недоступны элементы панели управления (заявка № 39791)

Опции темы

Подозрение на руткит, недоступны элементы панели управления

Похожие темы

Не запускаются элементы панели управления

Блокирование панели управления.

Не открываются элементы панели управления.

В панели управления отсутствуют все значки

Не запускаются элементы Панели управления

Ваши права в разделе