BSOD stop 0D1 + Trojan.NtRootkit.9659

[Pavel S.]

Доброго времени суток.
Небольшая предистория: система стала часто (иногда сразу же после перезагрузки) выпадать в синий экран с такими параметрами - driver_irql_not_less_or_equal stop 0x000000D1(0x00000000, 0x00000002, 0x00000000, 0x00000000) без указания файла вызывающего падение.
Теперь история: воспользовавшись bluescreenview нашел этот файл - pmsaxxw.sys , лежащий в Windows/system32/drivers/. На ещё одном домашнем компе в одноименной папке такого файла не оказалось и я решил проверить систему с CureIt. Курейт выдал что этот самый pmsaxxw.sys и ещё файл beptrm.sys (лежал там же) заражены Trojan.NtRootkit.9659 Лечением в безопасном режиме проблему решить не удалось - файлы не удалялись.
Некоторые заметки: система выпадала в синий экран всегда когда был включен интернет; если интернет не включался, компьютер работал в обычном режиме.
Нужна помощь. Необходимые файлы прилагаются.
Заранее спасибо за все возможные ответы.

[Pavel S.]

Дико извиняюсь, я совсем забыл об одной вещи. bluescreenview показал ещё два файла вызывающих падение системы: afd.sys и tcpip.sys. Сверка с "нормальным" компьютером показала что они неизменены, поэтому я о них тут поначалу и не упомянул, тем более что CureIt пропустил их как здоровые.

[olejah]

Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по pmsaxxw и выберите "Turn Run Off". Перезагрузку подтвердите.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 QuarantineFile('C:\WINDOWS\system32\Drivers\pmsaxxw.sys','');
 DeleteService('0e207cddad9cdcd9');
 DeleteService('7edb7524d8c182fd');
 DeleteService('97c0f086da94d217');
 QuarantineFile('C:\WINDOWS\TEMP\8600bdb8af9f','');
 QuarantineFile('C:\WINDOWS\TEMP\11160a2f76168','');
 QuarantineFile('C:\WINDOWS\TEMP\86004ca21108','');
 DeleteService('ca71300540307cf8');
 QuarantineFile('C:\WINDOWS\TEMP\113209b1a206e','');
 DeleteFile('C:\WINDOWS\TEMP\113209b1a206e');
 BC_DeleteSvc('ca71300540307cf8');
 DeleteFile('C:\WINDOWS\TEMP\86004ca21108');
 DeleteFile('C:\WINDOWS\TEMP\11160a2f76168');
 DeleteFile('C:\WINDOWS\TEMP\8600bdb8af9f');
 BC_DeleteSvc('97c0f086da94d217');
 BC_DeleteSvc('7edb7524d8c182fd');
 BC_DeleteSvc('0e207cddad9cdcd9');
 DeleteFile('C:\WINDOWS\system32\Drivers\pmsaxxw.sys');      
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Сделайте лог Гмер

[Pavel S.]

Извиняюсь что не сразу среагировал. Итак, карантин закачан, отчет закачки:
Результат загрузки
Файл сохранён как 101015_155808_quarantine_4cb841d04d413.zip
Размер файла 545825
MD5 9122aa15cb08910dac96375dc946a790
Файл закачан, спасибо!
Лог gmer'a прикрепляю.

Такой вопрос, а со вторым руткитником (beptrm.sys) всё так же делать?

[olejah]

- Сохраните текст ниже как 1.bat в ту же папку, где находится 949eo0dd.exe(GMER) и запустите этот батник(1.bat):

Код:

949eo0dd.exe -del service beptrm
949eo0dd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\beptrm"
949eo0dd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\beptrm"
949eo0dd.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer

[Pavel S.]

Сделал. Прикрепляю полный набор.

[thyrex]

Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по beptrm и выберите "Turn Run Off", потом подтвердите перезагрузку.

Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\beptrm.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\beptrm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('beptrm');
BC_DeleteSvcReg('beptrm');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Pavel S.]

Не получилось.
После отключенияв ОСАМе beptrm, компьютер не может загрузиться. При загрузке, сразу после появления информации о материнке , возникает чёрный экран и на этом весь процесс прекращается. Кулера при этом, в т.ч. и процессорный, работают в обычном режиме, как если бы система нормально прогрузилась а просто выключен монитор. Попытался войти в безопасном режиме. Процесс виснет на загрузке драйверов на файле isapnp.sys. О загрузке последней работоспособной версии речи вообще не идет, то же самое как и при обычной загрузке - черный экран.
Вот как-то так.

[Pavel S.]

Всем спасибо.
Топик можно закрывать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\pmsaxxw.sys - Rootkit.Win32.Bubnix.bba ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )