Вирус Rootkit.Win32.Podnuha.a

Printable View

29.05.2009, 15:56
Doink_clown

Вложений: 3

Вирус Rootkit.Win32.Podnuha.a

Здравствуйте! Завелся вирус Rootkit.Win32.Podnuha.a, делает внезапную перезагрузку.
Касперский его находит в System Memory, предлагает сделать перезагрузку...компьютер перезагружаю и он его опять находит! Помогите пожалуйста...логи прикрепил!
29.05.2009, 16:20
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\rdfa05d.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\igxpmp32.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\WDFLDR.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\mglpewgn.sys','');
QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
QuarantineFile('.exe','');
QuarantineFile('C:\WINDOWS\system32\.exe','');
QuarantineFile('C:\WINDOWS\.exe','');
QuarantineFile('C:\DOCUME~1\F24B~1\LOCALS~1\Temp\init.exe','');
DeleteFile('C:\DOCUME~1\F24B~1\LOCALS~1\Temp\init.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2. Повторить логи.
29.05.2009, 20:54
Doink_clown

Вложений: 3

Всё сделал как и написали.

Отправляю логи...
29.05.2009, 21:37
Kuzz

Выполните этот скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\Documents and Settings\Олеся\Local Settings\Temp\89axq.dll');
QuarantineFile('C:\WINDOWS\system32\cmdial32a.dll','');
DelBHO('{A3AB2AB5-0E48-472B-A6B2-60C8C5E1D635}');
DeleteService('rdfa05d');
DeleteService('mglpewgn');
QuarantineFile('C:\WINDOWS\system32\Drivers\mglpewgn.sys','');
QuarantineFile('C:\WINDOWS\system32\whstr4j4.exe','');
DeleteFile('C:\WINDOWS\system32\whstr4j4.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\mglpewgn.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\digeste.dll');
DeleteFile('C:\WINDOWS\system32\cmdial32a.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
29.05.2009, 23:59
Doink_clown

Файлик отправлен.
30.05.2009, 00:13
Rene-gad

Логи повторите, плиз.
30.05.2009, 01:14
Doink_clown

Вложений: 3

Логи

Логи
30.05.2009, 10:06
Kuzz

Выполните этот скрипт:
[CODE]begin
RegKeyParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','REG_SZ','C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
end.[/CODE]

Проблема присутствует?
02.06.2009, 12:59
Doink_clown

Проблема осталась

Перезагрузка так и продолжается...вот что пишет в Событиях-Система!
[SIZE=1]
Компьютер был перезагружен после критической ошибки: 0x10000050 (0xffffffec, 0x00000000, 0x8054a51a, 0x00000000). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini060209-04.dmp.
[/SIZE]
02.06.2009, 13:25
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\rdfa05d.sys','');
DeleteService('rdfa05d');
DeleteFile('C:\WINDOWS\System32\drivers\rdfa05d.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46795[/url]
02.06.2009, 15:49
Doink_clown

Вложений: 3

Логи

Несколько раз машина перегружалась во время создания логов...
02.06.2009, 15:51
Doink_clown

В AVZ , ПРОСМОТР КАРАНТИНА файлов нет!
02.06.2009, 16:11
PavelA

Какое-то новое зверье вылезло.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('i386si');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
Executerepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46795[/url]
03.06.2009, 16:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\mglpewgn.sys - [B]Trojan.Win32.BHO.ext[/B] ( DrWEB: Trojan.NtRootKit.1652, BitDefender: Rootkit.17589 )[*] c:\windows\system32\whstr4j4.exe - [B]Backdoor.Win32.Agent.ahfj[/B] ( DrWEB: Trojan.Proxy.4871, BitDefender: Trojan.Generic.970120 )[/LIST][/LIST]