sozrex и rxkgz

Printable View

31.10.2010, 17:55
aleha

sozrex и rxkgz

Проверка AVS выдала следующие записи:
Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "rxkgz"
>>> Подозрение на маскировку ключа реестра службы\драйвера "sozrex"
Информация по данным ключам в интернете при поверхностном поиске отсутствует.
При поиске в реестре, в некоторых случаях доступ к этим ключам заблокирован.
Так же было замечено, что при попытке скопировать в расшаренную папку на этом компьютере какой-либо файл с другой машины в сети, этот компьютер уходил в синий экран смерти с жалобой на IRQ.... После того как был удален НОД данная проблема исчезла, но подозрения к системе остались.
31.10.2010, 20:10
thyrex

Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]
31.10.2010, 21:02
polword

+ Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
01.11.2010, 01:42
aleha

надеюсь никаких логов не пропустил.
GMER - выдал предупреждение о том, что что-то нашел.
01.11.2010, 02:11
thyrex

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]rxkgz[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку. Повторите для [B]sozrex[/B]

Сохраните [B]html-лог[/B] работы утилиты, заархивируйте его и прикрепите к своему сообщению

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\668018ea4df1','');
QuarantineFile('C:\WINDOWS\TEMP\6680c1b70fa4','');
QuarantineFile('C:\WINDOWS\TEMP\668055cae273','');
QuarantineFile('C:\WINDOWS\TEMP\6680d7ff571c','');
QuarantineFile('C:\WINDOWS\TEMP\6680b58359d4','');
QuarantineFile('C:\WINDOWS\TEMP\66805d5b2472','');
QuarantineFile('C:\WINDOWS\TEMP\672056d8472b','');
QuarantineFile('C:\WINDOWS\TEMP\6720f8101946','');
QuarantineFile('C:\WINDOWS\TEMP\66801623ffe7','');
QuarantineFile('C:\WINDOWS\TEMP\668078b579b4','');
QuarantineFile('C:\WINDOWS\TEMP\66806b99e909','');
QuarantineFile('C:\WINDOWS\TEMP\66802e492f59','');
QuarantineFile('C:\WINDOWS\TEMP\66807e06c432','');
QuarantineFile('C:\WINDOWS\TEMP\66806d9f4354','');
QuarantineFile('C:\WINDOWS\TEMP\66802e307aca','');
QuarantineFile('C:\WINDOWS\TEMP\668045ae3df6','');
QuarantineFile('C:\WINDOWS\TEMP\66809040b626','');
QuarantineFile('C:\WINDOWS\TEMP\66805f3a121f','');
QuarantineFile('C:\WINDOWS\TEMP\66801aab8247','');
QuarantineFile('C:\WINDOWS\TEMP\6680887a499e','');
QuarantineFile('C:\WINDOWS\TEMP\66809b1517d0','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sozrex.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rxkgz.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\rxkgz.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\sozrex.sys');
DeleteFile('C:\WINDOWS\TEMP\66809b1517d0');
DeleteFile('C:\WINDOWS\TEMP\6680887a499e');
DeleteFile('C:\WINDOWS\TEMP\66801aab8247');
DeleteFile('C:\WINDOWS\TEMP\66805f3a121f');
DeleteFile('C:\WINDOWS\TEMP\66809040b626');
DeleteFile('C:\WINDOWS\TEMP\668045ae3df6');
DeleteFile('C:\WINDOWS\TEMP\66802e307aca');
DeleteFile('C:\WINDOWS\TEMP\66806d9f4354');
DeleteFile('C:\WINDOWS\TEMP\66807e06c432');
DeleteFile('C:\WINDOWS\TEMP\66802e492f59');
DeleteFile('C:\WINDOWS\TEMP\66806b99e909');
DeleteFile('C:\WINDOWS\TEMP\668078b579b4');
DeleteFile('C:\WINDOWS\TEMP\66801623ffe7');
DeleteFile('C:\WINDOWS\TEMP\6720f8101946');
DeleteFile('C:\WINDOWS\TEMP\672056d8472b');
DeleteFile('C:\WINDOWS\TEMP\66805d5b2472');
DeleteFile('C:\WINDOWS\TEMP\6680b58359d4');
DeleteFile('C:\WINDOWS\TEMP\6680d7ff571c');
DeleteFile('C:\WINDOWS\TEMP\668055cae273');
DeleteFile('C:\WINDOWS\TEMP\6680c1b70fa4');
DeleteFile('C:\WINDOWS\TEMP\668018ea4df1');
DeleteService('f0a2f9809c8431e1');
DeleteService('eecc3e88f3496d18');
DeleteService('d3cf02bb9f1c624b');
DeleteService('b00706208fdd958e');
DeleteService('9e2ee80a51eeb128');
DeleteService('87f1f427c2245b41');
DeleteService('81b1bdfbd0234dff');
DeleteService('7e55c3cd7fb56840');
DeleteService('652a3bb94604d78d');
DeleteService('62c46400a6a400b8');
DeleteService('609111ed027abf46');
DeleteService('5de904dc55a7ff6b');
DeleteService('5929648df946c396');
DeleteService('3e6c2c3a6f43f3bf');
DeleteService('3251b7347026ddd1');
DeleteService('318fc9dfd9e25252');
DeleteService('30d5a0b837eba5eb');
DeleteService('2b689b3aaf306f0b');
DeleteService('14df8f2b8a46557e');
DeleteService('147da6206dfb0459');
DeleteService('12ec0980dc797d4e');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sozrex');
BC_DeleteSvc('rxkgz');
BC_DeleteSvcReg('rxkgz');
BC_DeleteSvcReg('sozrex');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
03.11.2010, 00:58
aleha

Карантин отправил немного ранее.
Лог OSAM. И логи из "правил".
Лог Gmer не прикладываю, уж слишком долго проверяет. Но если нужен, то завтра отдельным сообщением.
03.11.2010, 13:25
aleha

прилfгаю лог GMER
03.11.2010, 13:40
polword

- Отключите [B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
04.11.2010, 15:46
aleha

Системное восстановление можно включить после этого?
04.11.2010, 16:29
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] все найденное
04.11.2010, 21:08
aleha

Удалено. Так можно включить системное восстановление теперь?
04.11.2010, 22:23
thyrex

Где новый лог МВАМ?
05.11.2010, 00:06
aleha

извиняюсь.
05.11.2010, 00:30
thyrex

Чисто

Восстановление можете включить
06.11.2010, 15:50
aleha

спасибо. Если вдруг чего, то обращусь ещё.
07.11.2010, 15:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\rxkgz.sys - [B]Rootkit.Win32.Bubnix.bba[/B] ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\drivers\\sozrex.sys - [B]Rootkit.Win32.Bubnix.cbi[/B] ( DrWEB: Trojan.NtRootKit.9767, BitDefender: Trojan.Generic.KDV.54355, AVAST4: Win32:Bubak [Rtk] )[/LIST][/LIST]