Набор: руткиты и трояны.

Нет возможности выполнить правила форума. При загрузке в безопасном режиме выдает 0x0000007b (недоступно устройство загрузки). Это не смотря на то, что я жму esc на предложение отказаться от загрузки stpd.sys.
Ситауация: Сначала перестали открываться странички (как в теме [URL]http://virusinfo.info/showthread.php?t=41640[/URL]), то есть был заблокирован доступ к серверам обновлений антивирей и некоторым другим сайтам (virusinfo.info, sysinternals). Нашел файл tldmovze.dll, удалить нереально (позже при запуске Cure it в обычном режиме он его нашел и удалил). Посмотрел Process Explorer-ом - нету нигде этой длл-ки. Вынул винт вставил в другую машину. Прогнал кав-ом и авз. Ничего. Попробовал удалить эту длл, пока винт на другой машине - не дает. Ставлю обратно. Process Explorer уже не запускается. Кое-как скачал unlocker - не дает его запускать. HiJackThis не скачать. (С другой машины на флехе принес.) Внезапно длл-ка исчезает после перезагрузки. Rootkit Revealer прогнал два раза - сначала 105 косяков, потом 26. Его логи прикрепить не могу, так как при сохранении логов он виснет и не оживает. Еще деталь - два раза заметил такую вещь - собрался писать что-то в адресной строке бравзера, а в нее начинают вставлятся слова testtesttest и так раз 50. В буфере обмена этого не было... Затем в командной строке Total Comander-а собрался писать кажется regedit - опять этот testtest... Это было уже после двух перезагрузок. Комп в сети через вайфай роутер. (Кстати, нашел у себя sptd в устройствах). Судя по всему, у меня модифицированный вариант, причем кто-то им управляет в онлайне - блочит сайты и запуск программ по имени или заголовку. Главный вопрос - как найти этого товарища? Я уже сидел с TcpView полчаса - не увидел. Потом TcpView тоже перестал запускаться. Но я обманул хозяина - переименовал файл и он запустился. Постоянно идут запросы на локальный компьютер в сетке на порт 2869. Вызываются процессами explorer.exe и svchost.exe.
Выдержки из логов MS Network Monitor с содердимым передаваемых пакетов имеются.

Закройте все программы.
Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
BC_DeleteSvc('DATFXVJN');
BC_DeleteSvc('LIUNFMEPAPJDWF');
BC_DeleteSvc('N');
BC_DeleteSvc('FILEMON701');
DeleteService('DATFXVJN');
DeleteService('LIUNFMEPAPJDWF');
DeleteService('N');
DeleteService('FILEMON701');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\N.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LIUNFMEPAPJDWF.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DATFXVJN.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\tldmovze.dll','');
DeleteFile('C:\WINDOWS\system32\tldmovze.dll');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\DATFXVJN.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LIUNFMEPAPJDWF.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\N.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новые логи и приложите к этой теме.

Ставьте надежный пароль на учетную запись Администратора.
Устанавливайте обновления безопасности на Windows.

Все сделаю, однако замечу, что DATFXVJN,LIUNFMEPAPJDWF,N - созданы Rootkit Revealer. N.exe это он же, только переименованый.

Rootkit Revealer вам ни к чему.

Сайты грузятся, однако обращения к 3-м компьютерам в лвс на порт 2869 продолжаются постоянно.

И еще вопрос - что это было? Где почитать?

C:\WINDOWS\system32\tldmovze.dll = Trojan-Downloader.Win32.Kido.a

[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782844[/url]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\vde2otqz.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\vde2otqz.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Не успел вчера скрипт выполнить. Сегодня обнаружил что он сменил имя с vde2otqz.sys на ute2otqz.sys и uje2otqz.sys. Не очень знаком с синтаксисом скриптов потому вопрос: будет ли работать скрипт если я заменю vde2otqz.sys на *2otqz.sys? Спасибо за помощь.

В описании этого файла значится что это драйвер мониторинга AVZ.

Это драйвер AVZ :)

Да я заметил, так вот и надо ли его присылать? Может у вас есть уже? :) Я срипт переделал он в логах пишет что все ок в канатин засунул эти файлы, но карантин пустой.

Присылать не надо. Проблемы есть?

Проблема есть только с постоянной долбежкой на три других компа в локалке на порт 2869. Но в одном из перехваченных пакетов я увидел что это службы UPnP вроде пытается к кому подключится. Отключил UPnP, перезагрузился - обращения продолжаются, причем соединение устанавливается. Пойду те машинки поизучаю. А главной проблемой все так же остается проблема с csrcs... Это просто не излечимо. Весь форум облазил, все делал как пишут... один хрен появляется. Неужели нет антивирусов, которые могут с этой заразой справится?

О каком csrcs речь?

Да все о том же... csrcs.exe (типа [url]http://virusinfo.info/showthread.php?t=41355&highlight=csrcs.exe[/url]). На самом деле не в тему, просто по сети и по флехам продит эта зараза и антивири его не видят. Лечил всем чем можно. Все отлично максимум сутки. Потом как-то пролазит и снова в системах. Только когда он уже прописался его иногда отлавливают АВ. Ну и "компаньон" C:\Windows\Offline Web Pages\Svchost.exe.

кстати, а что в автостарте на диске G у вас?
C:\WINDOWS\Installer\1d0ac5b6.msi - и это что?
P.S. csrcs - в логах нет,значит действительно не в тему.
антивирусы и не будут видеть, если копия не попадёт в лабораторию. Как будет карантин с файлом, так и будет детект. Нет карантина- нет детекта :)

>кстати, а что в автостарте на диске G у вас?
Это была флеха вставлена с тем самым autorun.inf, в котором прописан автозапуск с Recycled\sys.exe. Эта хрень создается процессом c:\windows\offline web pages\svchost.exe. Вот с этим и нереально бороться - АВ видят только авторан. Сам exe не трогают.
>C:\WINDOWS\Installer\1d0ac5b6.msi - и это что?
Это установщик драйвера и приложения для модема Yota. На других машинах авз увидел то же самое и с подозрением фыркнул. Дрова эти вшиты в саму йоту (там флеха есть, которая эмулируется как сд-ром и ставит свои приложения и дрова).
А про csrcs - готовлю логи и открываю тему.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 39 минут[/I][/B][/color][/size]

Готово - [url]http://virusinfo.info/showthread.php?t=42132[/url]

скопировать через avz по второму пункту сам ехе, и загрузить по красной ссылке ;)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\tldmovze.dll - [B]Trojan-Downloader.Win32.Kido.a[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]