Rootkit. Ворует пароли от FTP, инфицирует сайты.

Добрый день.

В пятницу, 05.06.09, подхватил эту заразу.

Главная неприятность в том, что я имею отношение к разработке сайтов, у меня в CuteFTP хранятся пароли от десятков серверов/хостингов, на которых расположено, в целом, до 200 действующих сайтов. Эта зараза прописала слила пароли, дописала ифреймы в индексные файлы большинства сайтов, на некоторых - вообще стерла индексы. Соответсвенно, сайты в полурабочем состоянии, об ущербе прямом и косвенном я пока боюсь даже думать. (

История:

Вечером 05.06.09 при просмотре какого-то сайта на мгновение мелькнуло сообщение Avast! о каком-то вирусе (желтый текст в правом нижнем углу экрана. Прочитать не успел) и сразу же исчезло.
После, сразу, всплыло сообщение Виндовс "Некоторые системные файлы изменены, для нормальной работы Виндовс необходимо их восстановление. Вставьте, пожалуйста, системный диск с Виндовс ХР".

Диска с Виндовс ХР у меня при себе не было. Я запланировал "полную проверку компьютера Avast!'ом до загрузки системы" и перезагрузил систему.

Полная проверка Аваста ничего не обнаружила. Загрузка Виндовс прошла нормально. Через 5-10 мин. работы появилось сообщение Аваст "Методом эвристического анализа обнаружена вирусная активность ..." в файле C:\WINDOWS\System32\drivers\f13a43a1.sys и предложено его удалить или пропустить сообщение (рекомендовано пропустить). Я его удалил. Всплыло сообщение Аваст, что в оперативной памяти обнаружен активный вирус, рекомендуется перезагрузить компьютер, запланировав полную проверку компьютера до загрузки системы. Я запланировал, перезагрузил.

Ситуация повторилась - проверка ничего не дала, через некоторое время - сообщение Аваст "Методом эвристического анализа обнаружен вирус ..." в файле C:\WINDOWS\System32\drivers\f13a43a1.sys... и т.д.

После этого я устанавливал:

NOD32
KIS 2009
Dr.Web 5.0

Проверка Нодом ничего не дала (правда, а проверял не в безопасном режиме)

KIS 2009 вообще отказывается включать защиту - постоянно светится серым и предупреждает, что защита отключена. Запустить проверку тоже не удается. Стояла демо-версия, с ключами все в порядке.

Доктор Веб в безопасном режиме нашел штук 5 подозрительных файлов, я их удалил. После перезагрузки системы и проверки ее Gmer'ом он снова нашел Rootkit activity.

Прошу помощи у сообщества и специалистов-вирусологов! Спасибо.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: FieryAds advertising module v1.3.3 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O11 - Options group: [java_sun] Java (Sun)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\f13a43a1.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\f13a43a1.sys');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Выполнил.

П.С.:
1) после пункта "- Выполните скрипт" виндовс загрузилась со второй попытки - во время первой выдала ошибку на синем экране и на этом застыла.

2) после этого же путкта после перезагрузки выскакивает мастер установки оборудования (не написано какого). Я выбираю установить автоматически - он драйверов не находит, установка не удается.

Неизвестное устройство можно отключить или удалить.

Зловред удален. Осталось немного почистить следы.
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('PCANDIS5');
BC_DeleteSvc('navigator');
BC_DeleteSvc('f13a43a1');
ExecuteRepair(6);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.

Все выполнил, огромное спасибо.
Жду окончательного вердикта.

Чисто.
Прочтите: [url]http://virusinfo.info/showpost.php?p=386579&postcount=1[/url]

Прочел, исправил.
Еще раз огромное спасибо.

Все темы о возможностях помощи ресурсу прочел, до конца недели постараюсь отметиться в каждой. Если в какой-либо не получится - компенсирую пропорционально в [URL="http://virusinfo.info/showthread.php?t=17130"]этой[/URL].

Удачи и всего хорошего всем специалистам virusinfo!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]