dpti930

) ну вот собственно тема
в одном из офисов кто-то подцепил эту гадость, через пару дней ни одного антивируса нет.
симптомы: выключаються антивирусы, при наборе в браузерах avz, cureit и т д браузер закрывает, переименнованный avz работает, безопастный режим не работает.
в системе регистрируеться сервис dpti930 который подгружает в ядро драйвер jkkkji.sys из папки system32\drivers (имя драйвера мож быть разным).
1. восстановить безопастный режим можно в avz если выполнить восстановление системы\восстановление safe mode
2. при входе в безопасный режим, драйвер(сервис dpti930 не подгружаеться)
3. через скрипты avz, драйвер нельзя добавить в карантин или удалить
4. при загрузке с другой системы(winpe, bartpe, какой нибудь live cd), в папке system32\drivers нет файла jkkkji.sys
4. удаление из безопастного режима веток реестра отвечающего за загрузку сервиса ни к чему не приводит, сервис удаляеться, но после загрузки в нормальном режиме снова появляеться.
возможно надо было сделать дамп памяти процесса но не подумал чет, если нужно будет попробую сделать

Сделайте логи по правилам...

[url]http://virusinfo.info/showthread.php?p=223078[/url]
логи точ такие же будет ) сравнивал )

[QUOTE=emodex;227808]логи точ такие же будет ) сравнивал )[/QUOTE]

по любому таблетки выписываем на ваше имя...
сначала логи потом таблетка, сразу таблетку можно, но логи всё равно вперёд, и только ваши. :)

в понедельник будут )
в офис на другой конец города ехать

) ну во и логи поспели )
жду )

Отключите восстановление системы и антивирус!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('dpti930', 4);
StopService('dpti930');
QuarantineFile('C:\WINDOWS\system32\drivers\jkkkji.sys','');
DeleteService('dpti930');
DeleteFile('C:\WINDOWS\system32\drivers\jkkkji.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('dpti930 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/showthread.php?t=22942[/url]

Повторите логи.

в карантине авира антируткит тул)
логи повторяю )

Восстановление системы - отключить !!!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\system32\drivers\jkkkji.sys- force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\jkkkji.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

упс про восстановление забыл ) сейчас

ледяной мечь не видит этот файлик )
я уже писал его даже под другой системой не видно, видимо тут что-то другое.
поэтому ни карантиниться этот драйвер и не удаляеться.
логи все то же показывают, восстановление отключено, скрипт выполнил не помогло.
логи.

через модули ядра удалось снять дамп с драйвера
прислать в карантин?

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('dpti930');
DeleteFile('C:\WINDOWS\system32\drivers\jkkkji.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите virusinfo_syscheck.zip

:suicide2:
повторяю логи )
тока перед перезагрузкой пишеццо
"для удаления jkkkji.sys необходима перезагрузка"
вот логи после перезагрузки )

вобщем меня на основной работе ждут )
я отправил дамп процесса в ЛК и т.д
пусть разбираються
просто так этот dpti не удаляеться
я пробовал по всякому, и в безопасном и с liveCD помогла только переустановка всей системы.
если ответят мне из ЛК то отпишусь, не у меня одного же этот dpti появился, а так до встречи ) спасибо за попытку помоч )

откуда авз скачивали ?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[code]
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
[/code]
если это таже что и в предыдущих логах ....
выполните пункт 2 правил ... и avz.exe пришлите согласно приложения 3 правил ...

авз скачивал с z-oleg
99% что авз заражен win32.hllp.sector.s
куреит находит его вирусные тела.
зараженный авз скину в карантин чуть позже.

Выполните отсюда [url]http://virusinfo.info/showthread.php?t=15927[/url] пункт номер 1.
После того, как пришлете зараженный AVZ, удалите его и скачайте чистый.

)) нашел тело
этот вирус куреитом обнаруживаеться как win32.hllp.sector.s
я думал это два вируса один просто убивает антивирусы а второй это старый добрый сектор, видимо это просто модификация.
авз в карантине.

Новые логи хорошо бы Вам сделать. CureIt! все обнаруженное вылечил? Больше ничего не находит ?