троян с расширением .sys в C:\windows\system32\drivers

Предыдущая моя тема еще не закончена: [URL]http://virusinfo.info/showthread.php?t=39887[/URL]

Но я решил создать новую, т.к. возникла новая проблема.

Один из сайтов, с которым я работаю, взломали и в индексную страницу вставили <iframe c какой-то заразой. Перестали открываться страницы в браузере, потом стал виснуть комп, вывелось сообщение с обратным отсчетом и комп перезагрузился. Хочу заметить, что из-за того что по предыдущей проблеме не было окончательного ответа, восстановление системы оставалось отключенным.

Запустил в безопасном режими CureIT - отловил трояна с расширением .sys в C:\windows\system32\drivers и удалил его, но при повторных перезагрузках CureIT снова отлавливает там же трояна с меняющимся названием файла.

Присоединяю логи

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\azdlib.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\Documents and Settings\Alex\Alex.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ppthechlllijwmz.sys','');
DeleteService('oigofocv');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ppthechlllijwmz.sys');
DeleteFile('C:\Documents and Settings\Alex\Alex.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\azdlib.dll');
DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать новые логи.
Загрузить карантин по [url]http://virusinfo.info/upload_virus.php?tid=40360[/url]

Скрипт выполнил, обновил логи:

А карантин где?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Профиксить:
[CODE]O2 - BHO: azdlibP - {4B5DF7B5-5FAB-4547-8420-35CFF12A2263} - C:\Documents and Settings\All Users\Application Data\azdlib.dll (file missing)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - C:\WINDOWS\pagepromoterbar.dll (file missing)[/CODE]

Лог Хиджака повтори. Проблемы на компьютере есть?

Прошу прощения, про карантин в прошлый раз забыл.

Пофиксил только вторую строку, т.к. первой не нашел.
Я до получения ответа еще раз решил сделать полную провеку при помощи CureIT и удалил как adware файл под названием azdlib.dll.dll - возможно поэтому и не нашел. Кроме этого, нашел и удалил Trojan.PWS.ICQSniff.25 и поудалял некоторые файлы из карантина, так что присланный карантин может быть не полным.

На всякий случай еще раз собрал все логи.
Видимых проблем пока нет.

Восстановление системы уже можно включить?

Достались в карантине разные трояны, плюс парочка интересных файлов.
Ответ по ним будет позже.

Интересно, все же, что там за интересные файлы? :)

Восстановление системы можно включить?

Ответ вот такой из ЛК:
[QUOTE]Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.[/QUOTE]

На всякий случай почисть карантин Др.Веба. Думаю, что "восст. системы" можно включать.

Спасибо, Павел!

А что сей новый зловред делал? Каково его назначение?

P.S. папка карантина в DoctorWeb не открывается, поэтому я удалил ее целиком. Правильно сделал?

Мы не знаем на какой файл они добавили детект :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\alex\alex.exe - [B]Trojan-Dropper.Win32.Small.cuk[/B] (DrWEB: Trojan.DownLoad.28430)[*] c:\documents and settings\all users\application data\azdlib.dll - [B]Trojan-Ransom.Win32.Hexzone.agl[/B][*] c:\windows\system32\digeste.dll - [B]Trojan-Dropper.Win32.Small.cum[/B] (DrWEB: Trojan.Inject.5512)[/LIST][/LIST]