Rootkit. Ворует пароли от FTP, инфицирует сайты.

[NAMnam]

Добрый день.

В пятницу, 05.06.09, подхватил эту заразу.

Главная неприятность в том, что я имею отношение к разработке сайтов, у меня в CuteFTP хранятся пароли от десятков серверов/хостингов, на которых расположено, в целом, до 200 действующих сайтов. Эта зараза прописала слила пароли, дописала ифреймы в индексные файлы большинства сайтов, на некоторых - вообще стерла индексы. Соответсвенно, сайты в полурабочем состоянии, об ущербе прямом и косвенном я пока боюсь даже думать. (

История:

Вечером 05.06.09 при просмотре какого-то сайта на мгновение мелькнуло сообщение Avast! о каком-то вирусе (желтый текст в правом нижнем углу экрана. Прочитать не успел) и сразу же исчезло.
После, сразу, всплыло сообщение Виндовс "Некоторые системные файлы изменены, для нормальной работы Виндовс необходимо их восстановление. Вставьте, пожалуйста, системный диск с Виндовс ХР".

Диска с Виндовс ХР у меня при себе не было. Я запланировал "полную проверку компьютера Avast!'ом до загрузки системы" и перезагрузил систему.

Полная проверка Аваста ничего не обнаружила. Загрузка Виндовс прошла нормально. Через 5-10 мин. работы появилось сообщение Аваст "Методом эвристического анализа обнаружена вирусная активность ..." в файле C:\WINDOWS\System32\drivers\f13a43a1.sys и предложено его удалить или пропустить сообщение (рекомендовано пропустить). Я его удалил. Всплыло сообщение Аваст, что в оперативной памяти обнаружен активный вирус, рекомендуется перезагрузить компьютер, запланировав полную проверку компьютера до загрузки системы. Я запланировал, перезагрузил.

Ситуация повторилась - проверка ничего не дала, через некоторое время - сообщение Аваст "Методом эвристического анализа обнаружен вирус ..." в файле C:\WINDOWS\System32\drivers\f13a43a1.sys... и т.д.

После этого я устанавливал:

NOD32
KIS 2009
Dr.Web 5.0

Проверка Нодом ничего не дала (правда, а проверял не в безопасном режиме)

KIS 2009 вообще отказывается включать защиту - постоянно светится серым и предупреждает, что защита отключена. Запустить проверку тоже не удается. Стояла демо-версия, с ключами все в порядке.

Доктор Веб в безопасном режиме нашел штук 5 подозрительных файлов, я их удалил. После перезагрузки системы и проверки ее Gmer'ом он снова нашел Rootkit activity.

Прошу помощи у сообщества и специалистов-вирусологов! Спасибо.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O2 - BHO: FieryAds advertising module v1.3.3 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O11 - Options group: [java_sun] Java (Sun)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\f13a43a1.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\f13a43a1.sys');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[NAMnam]

Выполнил.

П.С.:
1) после пункта "- Выполните скрипт" виндовс загрузилась со второй попытки - во время первой выдала ошибку на синем экране и на этом застыла.

2) после этого же путкта после перезагрузки выскакивает мастер установки оборудования (не написано какого). Я выбираю установить автоматически - он драйверов не находит, установка не удается.

[AndreyKa]

Неизвестное устройство можно отключить или удалить.

Зловред удален. Осталось немного почистить следы.
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 BC_DeleteSvc('PCANDIS5');
 BC_DeleteSvc('navigator');
 BC_DeleteSvc('f13a43a1');
 ExecuteRepair(6);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.

[NAMnam]

Все выполнил, огромное спасибо.
Жду окончательного вердикта.

[AndreyKa]

Чисто.
Прочтите: http://virusinfo.info/showpost.php?p=386579&postcount=1

[NAMnam]

Прочел, исправил.
Еще раз огромное спасибо.

Все темы о возможностях помощи ресурсу прочел, до конца недели постараюсь отметиться в каждой. Если в какой-либо не получится - компенсирую пропорционально в этой.

Удачи и всего хорошего всем специалистам virusinfo!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены