Не могу избавиться от Trojan.NtRootKit.9374

[Serko1964]

Во время работы за компом (модем включен, интернет используется по полной), комп неожиданно сам отключился. Подумал перегрелся (жара и на улице и дома). Перезапустил комп, посмотрел температуру на датчиках – всё в пределах нормы. Минут через 10-15 комп снова отключился, но при этом я заметил, что лампочки (PPP) на модеме бешено мигают - подозрение на вирус и модем отключил.
Первым делом заглянул в реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes – а там следы присутствия вирусной активности. Всё подчистил как и положено.
При всём при этом хочу уточнить, что на компе стоит NOD32(ESET Smart Security) - та ещё лабуда.
Запустил Авиру (Avira AntiVir Personal). Было обнаружено несколько объектов с 3-мя различными вирусами. Излечено было почти всё, кроме одного объекта:
C:\WINDOWS\system32\drivers\yeubkg.sys (содержит сигнатуру руткит-программы RKIT/Krap.B.5622
При обнаружении Авира спрашивает: ЛЕЧИТЬ? отвечаю ДА, в ответ ЛЕЧЕНИЕ НЕВОЗМОЖНО, ПЕРЕМЕСТИТЬ? отвечаю ДА, а в ответ ПЕРЕМЕСТИТЬ НЕВОЗМОЖНО и продолжает лопатить дальше.
Запустил AVZ в режиме обычного сканирования. В списке выведенной информации нашёл следующее:
… 7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "yeubkg"
Нестандартный ключ реестра для системной службы: BITSImagePath="%fystemRoot%\system32\svchost.exe -knetsvcs"
Нестандартный ключ реестра для системной службы: wuauservImagePath="%fystemroot%\system32\svchost.exe -knetsvcs" …
Запустил Dr.Web CureIt! (от 26.07.2010.), был найден объект:
C:\WINDOWS\system32\drivers\yeubkg.sys , который содержит Trojan.NtRootKit.9374
На запрос ЛЕЧИТЬ говорю ДА, а в ответ ЛЕЧЕНИЕ НЕВОЗМОЖНО, ПЕРЕМЕСТИТЬ? отвечаю ДА, а в ответ ТИШИНА, а точнее Курилка (CureIt!) зависает навсегда … Последующие попытки повторить с Курилкой тоже самое приводят к её зависанию.
По крайней мере сейчас комп не отключается, интернет-активность (по мимо меня) в норме, но присутствие вируса определяется (Avira, AVZ и CureIt).

Помогите !!!
Заранее благодарен,
С уважение, Сергей Игоревич.

[polword]

Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по yeubkg и выберите "Turn Run Off". Перезагрузку подтвердите.

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\system32\pqghgec.exe','');
 QuarantineFile('c:\windows\system32\6aa3b60c.exe','');
 QuarantineFile('c:\documents and settings\1\wuaucldt.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\ohj5tth.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\dd3poax.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\ankbai.exe','');
 QuarantineFile('C:\WINDOWS\system32\6ba603cb.exe','');
 QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\6ba603cb.exe');
 DeleteFile('C:\WINDOWS\system32\ankbai.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\dd3poax.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ohj5tth.exe');
 DeleteFile('c:\documents and settings\1\wuaucldt.exe');
 DeleteFile('c:\windows\system32\6aa3b60c.exe');
 DeleteFile('C:\WINDOWS\system32\pqghgec.exe');
 QuarantineFile('C:\MAGIX\MOTOROLA_mp3_maker\Rn5d3284.dll','');
 QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\om21E.tmp','');
 DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\om21E.tmp');
 QuarantineFile('C:\WINDOWS\system32\Drivers\yeubkg.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\yeubkg.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

затем такой
Выполните скрипт в AVZ

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Serko1964]

При попытке выполнить последний скрипт в AVZ появилась ошибка:
Ошибка: `;` expected в позиции 2:2 (смотри вложение) ...

[polword]

поправил, выполняйте

[Serko1964]

Исправленное выполнил .
Всё что нужно отправил .
Вирусной активности на компе не наблюдаю. СПАСИБО за помощь !!!
Жду дальнейших инструкций, если таковые будут ...

[PavelA]

Надо обновлять систему и ставить заплатки безопасности.

[thyrex]

И кое-какие хвосты добьем

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\WINDOWS\system32\pqghgec.exe');
DeleteFile('%windir%\Tasks\SysteCheck.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

[Serko1964]

Вот какая интересная складывается ситуация:
После получения исправленного скрипта, выполнил его.
Как бы всё хорошо.
Затем запустил на проверку NOD32 (ESET Smart Security).
Он ни чего не выявил.
Запустил Dr.Web CureIt!.
Он нашёл одного вируса и успешно удалил объект с ним.
Запустил Авиру (Avira AntiVir Personal). Она показала следующее:
- C:\Program Files\WMV Direct\RegExt.exe [ОБНАРУЖЕНИЕ] Файл запакован с помощью необычного паковщика (PCK/ExeCryptor).
- C:\Program Files\ZyXEL\NetFriend\ftpserver.exe [ОБНАРУЖЕНИЕ] Содержит сигнатуру программы SPR/Tool.FTPser.795
Удалять файлы не стал – поместил в карантин.
Что это вообще такое – зловреды или что-то иное ???
Потом получил последний скрипт (там где про добивание хвостов) и выполнил его.
Теперь NOD32 и Авира показывают, что всё чисто.
А вот с Dr.Web CureIt! проблема:
во время проверки в одном и том же месте выключается комп. Специально проверял 4 раза, на пятый раз даже записал на камеру момент отключения. Последним в списке тестируемых файлов был
C:\FPC\2.0.4\units\i386-win32\ibase\libpibase60.a\ibase600s28.o

[thyrex]

Ничего необычного в обнаруженных Авирой файлах и в логе

[Serko1964]

Как ранее я писал, что ни NOD32, ни Avira AntiVir Personal вирусов ни находят(это замечательно), но а Dr.Web CureIt! не может завершить проверку - отключает или отключается комп.
Ранее мне казалось, что отключение происходит в одном и том же месте, но нет. Последние дни я проверял по нескольку раз на дню - каждый раз в разном месте, но приблизительно в одно и тоже время. Через 20 минут, плюс/минус 30 сек. с момента начала полной проверки.
При этом теперь при загрузке компа появилась: CHECKING FILE SYSTEM ON F: (диск у меня поделен на две части C: и F.
Я так понимаю, что это произошло после ненормального отключения компа - из-за Курилки.
1. Как мне избавиться от этого чекинга.
2. Что нужно сделать чтобы Курилка провела полный цикл проверки.
Высылаю логи диагностики ...

[PavelA]

. Как мне избавиться от этого чекинга.

На диске правая клавиша - Свойства - Сервис - проверка диска.

[Serko1964]

Огромное Вам спасибо !!!
Комп в порядке !!!
Тему можно закрывать - ВЫЛЕЧЕНО ...

[polword]

Осталось Обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

[Serko1964]

Вопросы по Вашей инструкции " ... Осталось Обновить систему ...":
1. "… Перед установкой Сервис Пака необходимо выгрузить …" – выгрузить это значит отключить указанные Вами конкретные программы ???
2. "… Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол …" – файрвол, это значит в Центре обеспечения безопасности отключить БРАНДМАУЭР ???
3. Далее иду по указанной Вами ссылке: "… -SP2 обновите до Service Pack 3(может потребоваться активация)…", а там: " … НЕ НАЖИМАЙТЕ КНОПКУ «ЗАГРУЗИТЬ», ЕСЛИ ТРЕБУЕТСЯ ВЫПОЛНИТЬ ОБНОВЛЕНИЕ ТОЛЬКО НА ОДНОМ КОМПЬЮТЕРЕ ..."
У меня один комп и я естественно не жму кнопку ЗАГРУЗИТЬ, а пытаюсь пройтись по указанным ссылкам и возвращаюсь в итоге на эту же страницу. Может надо жать на ЗАГРУЗИТЬ ???

[Serko1964]

Проблема !!!
Согласно Ваших инструкций решил обновить систему до SP3.
Скачал файл: WindowsXP-KB936929-SP3-x86-RUS.exe
Отключил интернет, антивирус, файрвол и закрыл все программы.
Запустил файл обновления.
Когда бегунок процесса установки дошел примерно до середины над ним появилась инфо, что происходит ОБНОВЛЕНИЕ РЕЕСТРА.
Через несколько секунд появилось сообщение об ошибке: ОШИБКА. ОТКАЗАНО В ДОСТУПЕ.
Установка прекратилась. Установщик откатил обновления в исходное положение (по крайней мере как он сообщил) и на этом всё.
В чём дело и что делать ???

Добавлено через 7 часов 55 минут

OK !!!
Всё прекрасно. Огромное СПАСИБО ВАМ ВСЕМ...
Как я могу материлизовать свою благодарность Вам ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 28
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\6ba603cb.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@ayDDZFji )