RootKit.Gen и Dropper.Gen

**hrWoland** · 02.12.2009, 18:46

День добрый!
Есть ряд проблем с антивирусной защитой и не только, а именно:
1.При запуске тектового редактора или строки поиска в поле для ввода текста самопроизвольно появляется строка "еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыее уыееуыееуыееуыееуыееуыееуы1ееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ые"(или аналогичная на латинице, т.е. testtesttest и т.д.)
2.AVIRAAntivir выдаёт сообщение о наличии вирусов Rootkit.Gen и Dropper.Gen в файлах A0029538.sys и A0029539.sys соответственно, однако сами файлы через поиск найти не удаётся.
3.AVZ выдаёт подозрение на BackDoor в файле Kernelx86.sys в папке C:\Windows\System32\drivers
4.Антивирусная программа не установлена.
5.CureIt при быстрой проверке в Безопасном режиме вирусов не находит.
6.[removed]
7.При первой попытке создать архив virusinfo_syschek.zip был ряд ошибок в AVZ и создался архив virusinfo_files_"Имя пользователя".zip (не прикрепляю, т.к. противоречит Правилам)

Прошу Вашей помощи. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 02.12.2009, 19:20

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\msnmsngr.exe','');
 QuarantineFile('C:\WINDOWS\system32\4D3AB5\5AD325.EXE','');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\msnmsngr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**hrWoland** · 02.12.2009, 19:59

1. Отключил от Lan (Интернет через Lan).
2.Отдельный Firewall не установлен. Брандмауэр Windows отключен.Антивирусное ПО - не найдено.
3.Восстановление отключено.
4.При выполнении скрипта появлялись те же ошибки, что и при первой попытке создания virusinfo_syscheck.zip
5.Неизвестное устройство не появилось.
6.Выполнил Очистку системы AVZ.Корзина пуста.
7.Выполнена перезагрузка.
8.Новые логи и карантин прилагаю.

Благодарю за помощь.

**thyrex** · 02.12.2009, 23:28

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32','');
 QuarantineFile('C:\WINDOWS\system32\wmisrpc.exe','');
 QuarantineFile('C:\WINDOWS\system32\4D3AB5\5AD325.EXE','');
 DeleteFile('C:\WINDOWS\system32\4D3AB5\5AD325.EXE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5AD325');
 DeleteFile('C:\WINDOWS\system32');
DeleteFileMask('C:\WINDOWS\system32\4D3AB5', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\4D3AB5');
DeleteFile('C:\Windows\Tasks\system32.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи