Win32/Bubnix.AU

[clackx]

в папке drivers было два инфицированных объекта, один combofix пофиксил, другой остался:
"C:\WINDOWS\system32\drivers\rfucddrc.sys - error opening" пишет нод
OSAM его удалить не даёт, MBAM не видит

Может ли Win32/Bubnix.AU вызывать BSOD?

В логах возможно появление
mbr C:\DOCUME~1\flynn\LOCALS~1\Temp\mbr.sys
но я его уже удалил после создания логов.

Огромное спасибо.

[olejah]

Сделайте лог Гмер

[clackx]

Спасибо за ответ.
какой gmer долгий
лог в аттаче

[olejah]

- Сохраните текст ниже как 1.bat в ту же папку, где находится rg7m3guc.exe(GMER) и запустите этот батник(1.bat):

Код:

rg7m3guc.exe -del service rfucddrc
rg7m3guc.exe -del file "C:\WINDOWS\system32\inrnmie.dll"
rg7m3guc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rfucddrc"
rg7m3guc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rfucddrc"
rg7m3guc.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rfucddrc"
rg7m3guc.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer

[clackx]

в процессе выполнение скрипта возникли ошибки (на скриншотах). При попытке открыть ключ в реестре возникает ошибка доступа (на последнем скриншоте).
Я, конечно, запустил AVZ, потом Gmer запущу, но это какбэ долго, и не лишено ли смысла?
Спасибо.

[thyrex]

На ошибки не обращайте внимания. Ждем новыe логи gmer и AVZ

[clackx]

кажется, всё по-старому

[olejah]

Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по rfucddrc и выберите "Turn Run Off". Перезагрузку подтвердите.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('rfucddrc');   
 QuarantineFile('C:\WINDOWS\system32\Drivers\rfucddrc.sys','');
 QuarantineFile('C:\WINDOWS\system32\inrnmie.dll','');
 DeleteFile('C:\WINDOWS\system32\inrnmie.dll');     
 DeleteFile('C:\WINDOWS\system32\Drivers\rfucddrc.sys'); 
 BC_DeleteSvc('rfucddrc');   
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи АВЗ

[clackx]

Привет!
Ранее я уже писал, что OSAM не отключает драйвер rfucddrc, пишет, что я не имею прав устанавливать драйвера. Ага.
скрипт АВЗ тоже не помог. Выполнился, перезагрузился, но файл не удалил и карантин остался девственно чист.
Короче, мне надоело, я загрузился под линухом и изменил имя файла. После этого соответствующим образом подредактированный скрипт АВЗ отработал успешно. Карантин прилагаю.
Лечение можно считать оконченным, только один вопрос. После всех процедур с разными противовирусными программами (OSAM, MBAM, Combofix, HiJackThis) в консоли вылетела поддержка русского, хотя chcp показывает
"Текущая кодовая страница: 1251" - этот текст скопирован из окна консоли, но там он нечитаем. Возможно, Вы сталкивались с этим у других юзеров. Если нет, буду копать сам. Спасибо.

[olejah]

Удалите Combofix

- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.

[clackx]

Спасибо, sp3 помог.
Всего доброго и удачи.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\~rfucddrc.sys - Rootkit.Win32.Bubnix.bao ( DrWEB: Trojan.NtRootKit.9658, BitDefender: Gen:Variant.Bubnix.1, AVAST4: Win32:Bubak [Rtk] )