Руткит BackDoor.Siggen

Запустил на компе скачанный из нета ненужный файл. Теперь:

В диспетчере задач висит системный процесс 2801479846:1506739289.exe. Ничем не убьешь, даже с правами системы.
В папке C:\Windows\ пустой файл 2801479846
Cureit в процессе сканирования закрывается в обычном режиме. В safe mode сканирует и находит BackDoor.Siggen, но после перезагрузки всё возвращается обратно.
Тулза от Касперского вообще не может запуститься.

В AVZ отработал "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и создался лог. Скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" начинает работать и закрывается вся программа.

HijackThis при нажатии на кнопку "Do a system scan and save a logfile" также закрывается.

Поэтому могу пока выложить только лог virusinfo_syscure.zip.

Что сделать дальше? Подскажите.
Заранее спасибо.

Уважаемый(ая) [B]rublanin[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oxyedpsp.dll','');
QuarantineFile('c:\windows\2801479846:1506739289.exe:$DATA','');
QuarantineFile('c:\windows\2801479846:1506739289.exe','');
DeleteFile('c:\windows\2801479846:1506739289.exe');
DeleteFile('c:\windows\2801479846:1506739289.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\oxyedpsp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=108184[/url]).
Сделайте новые логи.

После выполнения Вашего скрипта и перезагрузки файл 2801479846:1506739289.exe исчез из диспетчера задач. но после второй перезагрузки опять появился.

Лог скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" опять не могу прислать, потому что AVZ закрывается при его выполнении. С логами HijackThis таже ситуация.

Карантин пустой получился.

Выполните скрипт в AVZ [B]в безопасном режиме[/B]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oxyedpsp.dll','');
QuarantineFile('c:\windows\2801479846:1506739289.exe:$DATA','');
QuarantineFile('c:\windows\2801479846:1506739289.exe','');
DeleteFile('c:\windows\2801479846:1506739289.exe');
DeleteFile('c:\windows\2801479846:1506739289.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\oxyedpsp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[quote="rublanin;823094"]после второй перезагрузки опять появился.[/quote]
Видимо, проникает снаружи, используя уязвимости системы:
[QUOTE]Версия Windows: 5.1.2600, Service Pack 2[/QUOTE]
Надо ставить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).

Ситуация щас такая, что файл исчез, я не могу получить адрес на DHCP

Журнал выполнения скрипта на AVZ в безопасном режиме:
>>>> Подозрение на маскировку файла процесса: c:\windows\2801479846:1506739289.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
Файл успешно помещен в карантин (c:\windows\2801479846:1506739289.exe:$DATA)
Ошибка карантина файла, попытка прямого чтения (c:\windows\2801479846:1506739289.exe)
Ошибка карантина файла, попытка прямого чтения (c:\windows\2801479846:1506739289.exe)
Удаление файла:c:\windows\2801479846:1506739289.exe
Удаление файла:c:\windows\2801479846:1506739289.exe:$DATA
>>>Для удаления файла c:\windows\2801479846:1506739289.exe:$DATA необходима перезагрузка
Удаление файла:C:\WINDOWS\system32\oxyedpsp.dll
Автоматическая чистка следов удаленных в ходе лечения программ

Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].

После выполнения скриптов "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" карантин был пустым.

Сейчас сижу без интернета, потому что не могу подключиться к проксе, хотя сетевые диски видны. :(

Я так понимаю, вот это ещё кусок заразы:
C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe

Лог прилагаю.

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('');
QuarantineFile('C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe ','');
DeleteFile('C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe ');
DeleteFileMask('C:\RECYCLER', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]


Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Повторите лог gmer

Спасибо за помощь. Процесс вроде исчез из диспетчера задач, но DHCP не арендует мне IP адрес. Подскажите, это может быть последствиями руткита???


P.S.
Скажу только, чтобы не вводить в заблуждение, что перед выполнением AVZ я выполнил в gmer команду:

gmer.exe -del ADS C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe

Ребята, отпишитесь, плз, чтобы уж закрыть вопрос. Или винду переустанавливать, или можно без этого обойтись.

[quote="rublanin;823804"]DHCP не арендует мне IP адрес[/quote]
Может, просто перезагрузить DHCP-сервер (роутер)?

Лог TDSSkiller сделайте. У Вас ZAccess живет

Всем спасибо.
To thyrex: Да, по симптомам это скорее всего MAX++ (он же ZeroAccess).
Проблему решил переустановкой системы (просто надо было быстрее, так как комп рабочий)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\2801479846:1506739289.exe:$data - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[/LIST][/LIST]