Трёхголовый руткит

При сканировании анхукером файлов на диске с установленным антивирусом (symantec или avg) в начале сканирования вылезает три трояна и прописываются в реестре с именами 78B45A19.exe и sys и т.п.

вирус выслан по правилам

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\WINDOWS\system32\mobsync.exe','');
QuarantineFile('G:\WINDOWS\system32\E6722B12.exe','');
DeleteFile('G:\WINDOWS\system32\E6722B12.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('E6722B12');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=29042[/url] ).

Очистите временные папки и кеш браузера.
Сделайте новые логи (3 лога, а не 2 :) ).

RAdmin Вы ставили?

r_admin установлен

После выполнения скрипта ситуация не изменилась.

G:\WINDOWS\system32\mobsync.exe
Это Вы прописывали в автозапуск? Файла, видимо, нет на диске.

[QUOTE=Toms;275178]При сканировании анхукером файлов на диске[/QUOTE]
Каким анхукером?? Подробнее пожалуйста.

Пункт 2 правил выполнялся (полная проверка CureIt!) ?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
BC_DeleteSvc('78B45A19');
BC_Activate;
RebootWindows(true);
end.[/code]

После перезагрузки сделайте новые логи. Плюс сделайте лог Gmer, я вижу, он у Вас есть.

1) G:\WINDOWS\system32\mobsync.exe - файла нет на диске. В автозагрузке он стоит как "disabled", на данный момент мы эту старую запись убрали. 2) RKU обе версии: 3.7.300.509 3.8.341.552 3) Cureit в безопасном режиме с полной проверкой ничего не находит, а также при загрузке компа с livecd (от Касперского). 4) При удалении 3-х троянов (2 прописываются как сервисы 78B45A19.exe (произвольный набор 8-ми 16-ричных символов в имени) и один как драйвер С9B45A23.sys ( то же произвольный набор) они спокойненько удаляются но ситуация не меняется. 5) Высылаем лог gmer

Я правильно понимаю, что антивирусы детектят трояны, только когда Вы запускаете/сканируете RKU ?

[quote=kps;276422]Я правильно понимаю, что антивирусы детектят трояны, только когда Вы запускаете/сканируете RKU ?[/quote]
Да, когда запускается скан Files

Это фолсы на rku.

[quote=Alex_Goodwin;276450]Это фолсы на rku.[/quote]

Если это фолсы, то почему эти трояны прописываются в системе как службы и драайвера? И почему на virustotal.com они опознаются как трояны?

[QUOTE=Toms;276528]И почему на virustotal.com они опознаются как трояны?[/QUOTE]
[B]Кем[/B] определяются? И [B]как[/B] определяются?

а как по вашему должен работать рку если не устанавливать драйвер ?

1) Имя драйвера RKU sybex38.sys, а имя драйвера трояна типа: С9B45A23.sys 2) Результаты анализа [url]http://www.virustotal.com/reanalisis.html?0343d567913e2b4921025097f29b5327[/url]

[QUOTE=Toms;276545]1) Имя драйвера RKU sybex38.sys, а имя драйвера трояна типа: С9B45A23.sys 2) Результаты анализа [url]http://www.virustotal.com/reanalisis.html?0343d567913e2b4921025097f29b5327[/url][/QUOTE]Так и думал - в основном генерики, т.е. эвристическое поведенческое подозрение.
Для расслабления скачайте антималварную программу Combofix и загоните ее на Virustotal.com. 8)

[quote=Rene-gad;276549]Так и думал - в основном генерики, т.е. эвристическое поведенческое подозрение.
Для расслабления скачайте антималварную программу Combofix и загоните ее на Virustotal.com. 8)[/quote]

А как по поводу пункта 1.)

[QUOTE=Toms;276564]А как по поводу пункта 1.)[/QUOTE]Так а что Вы хотите: антималварные проги друг друга как зловредов распознают, тут ничего нового нет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]