Букет троянов во главе с hacktool.rootkit

Symantec 10 обнаружил hacktool.rootkit и с переменным успехом пытался блокировать его активность, но через какое-то непродолжительное время работать за компьютером стало невозможно.

Загрузился в safe mode (сеть отключена)
Пробежался по службам ... поотключал подозрительные на мой глаз.

Скачал и запустил CureIt!

Первичная проверка прошла удачно (найдены и удалены):

trojan.download.40159
trojan.botnetlog.11

Без перезагрузки запустил вторую полную проверку, было дополнительно найдено:

trojan.download.38180
trojan.MulDrop.32530

... и на файле ffpma.exe вылетела ошибка:
"Инструкция по адресу "0x012382a" обратилась к памяти по адресу "0x525ba908". Память не может быть read"

т.е. CureIt! пару процентов недопроверил.

Просмотрел логи AVZ ... поотключал немного в авторане инструментом от DiamondCS.

Перезагрузился в нормальном режиме ... вроде симптомы пропали (выскакивающие с высокой частотой сообщения о невозможности доступа к памяти) ... но не уверен до конца.

По этому решил обратиться к вам. Действовал по FAQ, логи прилагаются.

p.s. Если не сложно опишите кратко (или линканите ... не нашел поиском) как проникают вышеперечисленные трояны на машину?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
DeleteService('ati64si');
DeleteService('i386si');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cC8805rt.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Как и при первой проверке AVZ, в карантин попала dll, которая похожа на кейлогер. Отправил.

[QUOTE]
DeleteService('nicsk32');
DeleteService('ati64si');
DeleteService('i386si');[/QUOTE]мда ... имена такие, что на вскидку и не станешь трогать ...

p.s. И все же ... есть какая-нибудь инфа о том, как эти троянцы функционируют (какие дать рекомендации, что бы повторно не словить)? Судя по форуму, я далеко не первый, кто столкнулся с этими экземплярами ...

... или обсуждения принято выносить из ветки "Помогите!" в другую ветку?

edit: Кстати говоря, эта кейлогерская dll как-то связана со службой FPAP-EXL600, которую отключил еще до запуска CureIt! Как я вижу, это инструмент сбора данных для трояна и/или бот-нета.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]