Подозрение на Rootkit

Здравствуйте от вирусов!
21.07 мой avira выдал сообщение о том, что найден троянец 'RKIT/Krap.B.56228' [trojan], под кодовым названием 'C:\WINDOWS\system32\drivers\rbokbu.sys'. Подумав немного, сказал, что удалит, наверное, после перезагрузки. После оной файл в указанном адресе не удалился, и удалить его нельзя (ошибка). Dr.Web CureIt! также обозвал его тем же словом, попытался вылечить его, но с трудом поместив в карантин после перезагрузки сдал позиции - файл опять на своём месте, а avira при открытии папки карантина Dr.Web'а говорит, что карантинный файл тоже зловредный вирус, однако хоть его удаляет начисто. Наконец, любимая AVZ про файл молчит, лиш подозревает, что есть служба с именем rbokbu.sys, маскирующая процессы. Ботклинер не смог его удалить. Что же делать? Как мн Быть!?... Благодарю за любой ответ.

Здравствуйте вирусам. А где логи АВЗ по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]? + лог HiJackThis.

Будьте здоровы от вирусов!
Логи авз даны были под названием "вот", хайджек только скачал, высылаю лог. Кстати, авптул тоже пытался вылечить долго и упорно, даже прибег к перезагрузке. И не помогло. Теперь файл обозлился ещё больше и запрещает вызывать на себе контекстное меню. Ещё раз кстати, при удалении др.вэбом на следующую загрузку система говорит "Найдено новое оборудование", впоследствии как окажется что "его установить не удалось". И вопрос есть, где можно прочесть, как пользоваться хайджеком? Благодарю за предыдущий и следующий любой ответ.

Под названием "Вот" в любом случае должны быть не txt файлы, а логи АВЗ в архивах, перечитайте ещё правила пожалуйста. По поводу хайджека - [URL="http://www.saule-spb.ru/articles/hijackthis.html"]saule-spb.ru[/URL]

Будьте здоровы от вирусов!
Высылаю нужные логи по правилам + лог AVPTool и прошу простить мою неправильность. Напоминаю, что дело касается файла C:\WINDOWS\system32\drivers\rbokbu.sys, который был обозван авирой как 'RKIT/Krap.B.56228'. Файл не удаляется del(+Shift), запрещает вызывать на себе контекстное меню; Avira, Dr.Web CureIt! и Virus Removal Tool не смогли удалить его даже с помощью перезагрузки, несмотря на то, что авира и Вэб смогли скопировать его к себе в карантин, правда, вэбовский карантинный файл распознался авирой, как вредоносный и удалился начисто (хоть это хорошо). HiJackThis'ом, как неопытный пользователь такого рода программ, я не смог ничего сделать, только сделать лог.
+есть вопрос по поводу файла
C:\WINDOWS\I386\SVCPACK\MyTheme.exe, который год который распознаётся AVZ вирусом на 75%.Подробно всё в логах. Подскажите про каждый случай. СпасиБо.

Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\9b7658ad.exe,\\?\globalroot\systemroot\system32\Gdwby4S.exe,C:\WINDOWS\system32\e850817a.exe,C:\WINDOWS\system32\hmspoj.exe,[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\9b7658ad.exe','');
DeleteFile('C:\WINDOWS\system32\9b7658ad.exe');
QuarantineFile('\\?\globalroot\systemroot\system32\Gdwby4S.exe','');
QuarantineFile('C:\WINDOWS\system32\hmspoj.exe','');
QuarantineFile('C:\WINDOWS\system32\e850817a.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
DeleteFile('C:\WINDOWS\system32\e850817a.exe');
DeleteFile('C:\WINDOWS\system32\hmspoj.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Gdwby4S.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать лог Гмером.

:( я не знаю, что такое гмер...

[QUOTE=Arkidon;675403]:( я не знаю, что такое гмер...[/QUOTE]
[URL]http://virusinfo.info/showthread.php?t=40118[/URL]

[SIZE=3][FONT=Times New Roman]Gmer не помог, точнее, не смог помочь… Каждый раз через 2 секунды после запуска возникает ошибка (см.скрин). Выполнил скрипт лечения/карантина для раздела «помогите!», перезагрузка, и раза три машина сама перезагружалась, дойдя до чёрного экрана с синей бегающей полоской. Проблему решил (быть может), войдя в безопасный режим с загрузкой сетевых драйверов и пролечив диск Virus Removal Tool’ом, естественно, который его (файл) не удалил, но хотя бы загрузил при перезагрузке нормально систему. Из злости на седящий на своём прижившемся месте файл решил я его сжать winrar'ом, так копьютер выдал ошибку, аля «здесь водки нет» : [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]! C:\WINDOWS\system32\drivers\rbokbu.rar: Невозможно открыть C:\WINDOWS\system32\drivers\rbokbu.sys[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]! Присоединенное к системе устройство не работает.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Это точняк Rootkitина. У себя я исправил проблемы безопасности, указанные в прошлых логах, профиксил указанную строку и выполнил указанный скрипт, но, как видите, файл хихикает на своём месте. Высылаю новые логи и скрин,+ есть вопрос : как то заметил, что AVZ выдает в отчёте :[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman] C:\WINDOWS\system32\MSGINA.dll --> Подозрение на Keylogger или троянскую DLL[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]C:\WINDOWS\system32\MSGINA.dll>>> Поведенческий анализ [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman] Типичное для кейлоггеров поведение не зарегистрировано[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Значит ли, что подозрения верны?[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]З. Ы. :[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Это письмо пишу второй раз, так как при попытке написать в первый и после создания логов и подключения к сетке система жутко завязла, не мог открыть txt-файл и любую папку.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Благодарю за ссылки и отклики.[/SIZE][/FONT]

Выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('rbokbu');
QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\rbokbu.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог Gmer (закройте/выгрузите все программы, отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- USB-модем, блютус и т.п.)

Скрипт выполнил. Gmer не запускается при выключенной авире и интернете (та же ошибка), логи высылаю + "правильный" каратнин. Благодарю за отклики.

Файл по-прежнему на своем месте и не удаляется.

Скачайте "OSAM" (Online Solutions Autorun Manager)--[URL="http://www.online-solutions.ru/products/osam-autorun-manager.html"]http://www.online-solutions.ru/products/osam-autorun-manager.html[/URL]
В меню драйверов правой кнопкой по [B]rbokbu[/B] и выберите [B]"Turn Run Off"[/B]. Перезагрузку подтвердите.
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\rbokbu.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip

Здравсвуйте! Прошу простить за долгий перерыв. Проблема решилась переустановкой системы. Благодарю за попытки оказать помощь. Жаль не удалось сделать копию того файла для исследований.