Возрождающиеся руткиты.

Ноутбук Ровер. CureIt обнаружил маленький "зверинец":
Trojan.NtRootKit.319
Trojan.NtRootKit.360
Trojan.Proxy.2071
Trojan.MailSpectre
BackDoor.Bulknet.59

После сканирования CureIt сеть не работала. Помогло только netsh winsock reset. Но спустя какое-то время и пары перезагрузок сеть опять перестаёт работать и CureIt опять при экспресс-проверке находит два вышеуказанных руткита.

На этом же ноутбуке наблюдался интресный эффект: в некоторых окнах (не во всех) мышинный курсор отскакивал от кнопок. Например такое наблюдалось в Диспетчере задач и при остановке USB-устройств. С клавиатуры при этом всё управлялось нормально.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('C:\DRIVERS\AUTOMAIL\FNGMHLIB.DLL','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
BC_ImportALL;
BC_QrSvc('Ip6Fw');
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O1 - Hosts: 127.0.0.2 updates.drweb.com
O1 - Hosts: 127.0.0.2 kaspersky.ru
[/code]
Сделайте новые логи.

панда как всегда в спячке ;)
О, опередили ;) Я добавил парочку.

Результат загрузки
Файл сохранён как 070905_073940_virus_46dea38cec2f3.zip
Размер файла 514257
MD5 30334166391ffa2223dc8ddb5659e763

Файл закачан, спасибо!

Хочу добавить, что при старте системы выскакивает сообщение от системы:
"Could not load DLL: FNGMHLIB"
Что за библиотека такая? Вражеская или нет?

FNGMHLIB"=Вражеская ;) ждём новых логов и отключите наконец панду перед исполнением логов.

Анализы, док. ;)

Пофиксите в HijackThis:
[code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
Выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\FNGKHLIB.dll','');
DeleteFile('C:\WINDOWS\system32\FNGKHLIB.dll');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\FNGKHLIB.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам
и сделайте логи еще раз.

[quote=PavelA;132055]Профиксить:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

Выполнить скрипт:
[code]
begin
SysCleanAddfile('C:\WINDOWS\system32\FNGKHLIB.dll');
ExecuteSysClean;
end.
[/code][/quote]
Done

Быстры Вы батенька. Выполните указание Bratez, PLS.

Выполнил большой скрипт из последнего поста Bratez. Пофиксил строчку в HJT. Последние логи выслал.

[B]Результат загрузки[/B]

Файл сохранён как070905_083440_virus1_46deb070b844c.zipРазмер файла10598MD5391603ac7ded4f3707d64991e8cc1aba[B]Файл закачан, спасибо![/B]

[QUOTE]Последние логи выслал.[/QUOTE]
А нету ;)
Логи прикрепите к сообщению. Если вдруг не хватает места, удалите самые старые.

Ёщё последние логи:

Теперь логи чистые. Осталось разобраться с этим:
[code]
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Что из этого нужно - скажите, остальное исправим.

А во-вторых, есть мнение, что Панда мышей не ловит ;)
Я думаю, что антивирус стоит сменить.

Службы остановил и поставил тип запуска в положении "Отключено".
Автозапуск на CD решили пока оставить.
С останыльным не знаю, что делать.
Комп домашний. Используется изредко для веб-сёрфинга и для печати текстов и фото.

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Насчёт Панды всё понятно -- будем менять.
Вот разобраться бы ёщё с "Could not load DLL: FNGMHLIB". Всё равно выскакивает при старте. Где же ключик на автозазагрузку этой библиотеки?

По-простому - в regedit поиск по FNGMHLIB.
По-сложному - лог GetSystemInfo с сайта Касперского.

AVZ, меню "Сервис\Поиск данных в реестре". там в поле "Образец" следует ввести FNGMHLIB и нажать пуск. Полученный лог нужно поместить сюда

[B]Зайцев Олег[/B],
по-мойму ничего не нашлось

Модуль для поиска данных в реестре, Зайцев О.В., 2004., [url]http://z-oleg.com/secur[/url]
Запущен поиск ключей, содержащих образец "fngmhlib"
-- Поиск в HKEY_LOCAL_MACHINE --
-- Поиск в HKEY_CURRENT_USER --
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск завершен --
Просмотрено ключей: 160932

Просмотри "менеджер автозапуска" в AVZ. Может там чего осталось.

[QUOTE]Вот разобраться бы ёщё с "Could not load DLL: FNGMHLIB". [/QUOTE]
В сообщении только эта фраза, никаких наводок, какой именно программе нужна эта библиотека?

[QUOTE]Запущен поиск ключей, содержащих образец "fngmhlib"[/QUOTE]
Возможно, "размер имеет значение"? Попробуйте образец заглавными.

Да и почему бы не попробовать скриптом:
[code]
begin
SysCleanAddFile('C:\WINDOWS\system32\FNGMHLIB.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
(ведь на удаленный FNGKHLIB ссылка не вылазит, значит ExecuteSysClean ее зачистил).

Напоминаю: Acer это я, но не с домашней машины, а с клиентской. IMHO так безопасней для форума.

Поиск по Гуглю показал, что эта библиотека является компонентом Automail. Который, в свою очередь, входит в состав ПО, поставляемое вместе с Ровербуком.
Насколько я понял, некоторые антивирусы относят эту библиотеку к разряду потенциально опасного ПО. Якобы она мониторит процессы. Наверно её Панда грохнула. Причём -- давно, ещё до сабжевого заражения.

Вывод: поищу AutoMail в Автозагрузке и уберу его оттуда.

Всем спасибо за помощь.