-
Junior Member
- Вес репутации
- 50
sozrex и rxkgz
Проверка AVS выдала следующие записи:
Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "rxkgz"
>>> Подозрение на маскировку ключа реестра службы\драйвера "sozrex"
Информация по данным ключам в интернете при поверхностном поиске отсутствует.
При поиске в реестре, в некоторых случаях доступ к этим ключам заблокирован.
Так же было замечено, что при попытке скопировать в расшаренную папку на этом компьютере какой-либо файл с другой машины в сети, этот компьютер уходил в синий экран смерти с жалобой на IRQ.... После того как был удален НОД данная проблема исчезла, но подозрения к системе остались.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
-
-
Junior Member
- Вес репутации
- 50
надеюсь никаких логов не пропустил.
GMER - выдал предупреждение о том, что что-то нашел.
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по rxkgz и выберите "Turn Run Off", потом подтвердите перезагрузку. Повторите для sozrex
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\668018ea4df1','');
QuarantineFile('C:\WINDOWS\TEMP\6680c1b70fa4','');
QuarantineFile('C:\WINDOWS\TEMP\668055cae273','');
QuarantineFile('C:\WINDOWS\TEMP\6680d7ff571c','');
QuarantineFile('C:\WINDOWS\TEMP\6680b58359d4','');
QuarantineFile('C:\WINDOWS\TEMP\66805d5b2472','');
QuarantineFile('C:\WINDOWS\TEMP\672056d8472b','');
QuarantineFile('C:\WINDOWS\TEMP\6720f8101946','');
QuarantineFile('C:\WINDOWS\TEMP\66801623ffe7','');
QuarantineFile('C:\WINDOWS\TEMP\668078b579b4','');
QuarantineFile('C:\WINDOWS\TEMP\66806b99e909','');
QuarantineFile('C:\WINDOWS\TEMP\66802e492f59','');
QuarantineFile('C:\WINDOWS\TEMP\66807e06c432','');
QuarantineFile('C:\WINDOWS\TEMP\66806d9f4354','');
QuarantineFile('C:\WINDOWS\TEMP\66802e307aca','');
QuarantineFile('C:\WINDOWS\TEMP\668045ae3df6','');
QuarantineFile('C:\WINDOWS\TEMP\66809040b626','');
QuarantineFile('C:\WINDOWS\TEMP\66805f3a121f','');
QuarantineFile('C:\WINDOWS\TEMP\66801aab8247','');
QuarantineFile('C:\WINDOWS\TEMP\6680887a499e','');
QuarantineFile('C:\WINDOWS\TEMP\66809b1517d0','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sozrex.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rxkgz.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\rxkgz.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\sozrex.sys');
DeleteFile('C:\WINDOWS\TEMP\66809b1517d0');
DeleteFile('C:\WINDOWS\TEMP\6680887a499e');
DeleteFile('C:\WINDOWS\TEMP\66801aab8247');
DeleteFile('C:\WINDOWS\TEMP\66805f3a121f');
DeleteFile('C:\WINDOWS\TEMP\66809040b626');
DeleteFile('C:\WINDOWS\TEMP\668045ae3df6');
DeleteFile('C:\WINDOWS\TEMP\66802e307aca');
DeleteFile('C:\WINDOWS\TEMP\66806d9f4354');
DeleteFile('C:\WINDOWS\TEMP\66807e06c432');
DeleteFile('C:\WINDOWS\TEMP\66802e492f59');
DeleteFile('C:\WINDOWS\TEMP\66806b99e909');
DeleteFile('C:\WINDOWS\TEMP\668078b579b4');
DeleteFile('C:\WINDOWS\TEMP\66801623ffe7');
DeleteFile('C:\WINDOWS\TEMP\6720f8101946');
DeleteFile('C:\WINDOWS\TEMP\672056d8472b');
DeleteFile('C:\WINDOWS\TEMP\66805d5b2472');
DeleteFile('C:\WINDOWS\TEMP\6680b58359d4');
DeleteFile('C:\WINDOWS\TEMP\6680d7ff571c');
DeleteFile('C:\WINDOWS\TEMP\668055cae273');
DeleteFile('C:\WINDOWS\TEMP\6680c1b70fa4');
DeleteFile('C:\WINDOWS\TEMP\668018ea4df1');
DeleteService('f0a2f9809c8431e1');
DeleteService('eecc3e88f3496d18');
DeleteService('d3cf02bb9f1c624b');
DeleteService('b00706208fdd958e');
DeleteService('9e2ee80a51eeb128');
DeleteService('87f1f427c2245b41');
DeleteService('81b1bdfbd0234dff');
DeleteService('7e55c3cd7fb56840');
DeleteService('652a3bb94604d78d');
DeleteService('62c46400a6a400b8');
DeleteService('609111ed027abf46');
DeleteService('5de904dc55a7ff6b');
DeleteService('5929648df946c396');
DeleteService('3e6c2c3a6f43f3bf');
DeleteService('3251b7347026ddd1');
DeleteService('318fc9dfd9e25252');
DeleteService('30d5a0b837eba5eb');
DeleteService('2b689b3aaf306f0b');
DeleteService('14df8f2b8a46557e');
DeleteService('147da6206dfb0459');
DeleteService('12ec0980dc797d4e');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sozrex');
BC_DeleteSvc('rxkgz');
BC_DeleteSvcReg('rxkgz');
BC_DeleteSvcReg('sozrex');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Карантин отправил немного ранее.
Лог OSAM. И логи из "правил".
Лог Gmer не прикладываю, уж слишком долго проверяет. Но если нужен, то завтра отдельным сообщением.
-
Junior Member
- Вес репутации
- 50
-
- Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Системное восстановление можно включить после этого?
-
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Удалено. Так можно включить системное восстановление теперь?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Чисто
Восстановление можете включить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
спасибо. Если вдруг чего, то обращусь ещё.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\rxkgz.sys - Rootkit.Win32.Bubnix.bba ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\drivers\\sozrex.sys - Rootkit.Win32.Bubnix.cbi ( DrWEB: Trojan.NtRootKit.9767, BitDefender: Trojan.Generic.KDV.54355, AVAST4: Win32:Bubak [Rtk] )
-