Руткит в ядре

В общем воюю с этим руткитом уже двое суток.
Всё началось с незагруженного Spidera доктора-веба, зоопарк всякой мелочи антивирусный монитор вылечил, но спайдер так и не запускается (доступ запрещён, ошибка 5).

Проверка винта на другом комьютере дрвебом с обновлёнными дала только Trojan.PWS.Panda и то в temprorary intenret files и всё.

Cureit ничего не находит, как и аналог от Касперского.
RkUnhocker запускается с ошибкой "02 error loading data file"

Логи приложил, только изучение системы велось без интернета. компьютер не мой, и в офисную локалку подключать его не хочу на всякий случай :-)

[QUOTE='nevzorofff;446926']Логи приложил[/QUOTE]Куда?

Теперь точно приложил.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('xhvbhrs');
StopService('FXDrv32');
QuarantineFile('D:\FXDrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\rrbclfxn.sys','');
DeleteFile('D:\FXDrv32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rrbclfxn.sys');
DeleteService('xhvbhrs');
DeleteService('FXDrv32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xhvbhrs');
BC_DeleteSvc('FXDrv32');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

Всё сделал. Защита drweb не отключается даже после ввода цифр с капчи, потому выключил только те компоненты, какие смог.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\ytasfwhxbpgequ.sys','');
DeleteFile('\systemroot\system32\drivers\ytasfwhxbpgequ.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]

После этих операций Spider стал работать.

Файл с карантином не изменился, и форма загрузки сказала, что данный файл уже был загружен, когда я пытался загрузить его ещё раз.
Удалил его, выполнил скрипт ещё раз, но, видимо, того файла уже нету, в папке с логами пусто.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\ytasfwhxbpgequ.sys','');
DeleteFile('c:\windows\system32\drivers\ytasfwhxbpgequ.sys');
QuarantineFile('c:\windows\system32\ytasfwhmwvbioj.dll','');
DeleteFile('c:\windows\system32\ytasfwhmwvbioj.dll');
QuarantineFile('c:\windows\system32\ytasfwkrillovr.dll','');
DeleteFile('c:\windows\system32\ytasfwkrillovr.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service ytasfwpdkbyuwf
gmer.exe -del file "c:\windows\system32\drivers\ytasfwhxbpgequ.sys"
gmer.exe -del file "c:\windows\system32\ytasfwhmwvbioj.dll"
gmer.exe -del file "c:\windows\system32\ytasfwqxnrrqrd.dat"
gmer.exe -del file "c:\windows\system32\ytasfwkrillovr.dll"
gmer.exe -del file "c:\windows\system32\ytasfwdobcnlye.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ytasfwpdkbyuwf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ytasfwpdkbyuwf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ytasfwpdkbyuwf"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Выполнено. В папке с логами карантина нету.

В логе GMER ничего подозрительного.
- Установите ИЕ 8
- Обновите Адоби Ридер
- Обновите JavaRE

А вот это AVZ пишет:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод APICodeHijack.JmpTo[600D22FD]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (621) перехвачена, метод APICodeHijack.JmpTo[600D1541]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован

Spider Guard и Spider Gate отключал перед проверкой. Это могут быть перехваты не-руткитов?

[QUOTE='nevzorofff;447415']Это могут быть перехваты не-руткитов?[/QUOTE]Да, могут

[QUOTE=nevzorofff;447415]А вот это AVZ пишет:
Это могут быть перехваты не-руткитов?[/QUOTE]Так должно быть. :)

[B]Rene-gad[/B],
[B]thyrex[/B], СПАСИБО большое за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]