Rootkit.Win32.ZAccess.c

Здравствуйте, прошу помощи в лечении руткита ZAccess. Подруга принесла ноут и попросила почистить от вирусов, говорила, что самопроизвольно открывались страницы непонятные, да на флешках постоянно файлы пропадали. На ноуте стоял NOD32, но не работал а просто так висел в памяти, я его снес, поставил KIS 2012. Полной проверкой снес очень много вирусов, причем копий по всей системе. Вычистил всю заразу, но после нескольких перезагрузок/проверок чтоб наверняка, был обнаружен в драйвере csc.sys Rootkit.Win32.ZAccess.c. Лечение активных угроз -> Перезагрузка Касперский опять ругается на него, попробовал TDSSKiller, обнаружил его же, лечение, не помогло, после перезагрузки каспер опять ругается, загрузился с лайв сд, заменил драйвером с чистого компа, потом каспер ругался уже на dfsc.sys, вроде вылечил, проверка, другой драйвер, и вот так постоянно только на разные драйверы, в ходе одной из проверок каспер обнаружил еще такую вещь: Backdoor.Win32.ZAccess (букву в конце не помню и не могу посмотреть в каспере, так как каспер отказывался работать и уже несколько раз его переустанавливал) в файле C:\Windows\assembly\GAC_MSIL\Desktop.ini. Он то пропадал, то появлялся, в конечном итоге его удалось удалить с помощью AVZ из безопасного режима. Но не факт. Касперский уже снес cdrom.sys. DrWeb CureIT из безопасного вообще ничего не увидел. Вот сейчас Касперский обнаружил и вылечил klif.sys и tdx.sys якобы удалил но после перезагрузки tdx.sys опять угроза. Вот сделал логи, прикрепляю. Помогите пожалуйста, а то уже не знаю куда и копать то...
P.S. Надеюсь расписал все понятно, если что непонятно - спрашивайте...

Уважаемый(ая) [B]PEOOPLE3D[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте, распакуйте и запустите TDSSKiller:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

Вот лог, ругался только на не подписанные драйвера и все.

сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]

Не запускается Combofix, точнее запускается и пишет: Program too big to fit in memory. Похоже вирусня не дает запуститься, оперативы 3 Гб.

попробуйте сделать в безопасном режиме.

То же самое писал, и с переименованием и без.
Решил перекачать и скинуть с другого компа, запустился и почему-то файлы отличаются размером, скорее всего недокачивался...
Оказалось не работает новая версия на которую он просил обновиться, запустилась старая (правда ругался на остатки NOD32, где он их нашел так и не понял), вот лог.
P.S. При перезагрузке ComboFix'ом автоматом запустился каспер (надеюсь не помешал) и опять обнаружил Backdoor.ZAccess.avy в файле C:\Windows\assembly\GAC_MSIL\Desktop.ini

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::

File::

Driver::
dphost

NetSvc::
dphost

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Вот сделал, как вы сказали (надеюсь все правильно). Он снес desktop.ini, о котором писал выше))
Вот лог:

Теперь Каспер ругается на файл netbt.sys, все тот же Rootkit.Win32.ZAccess.c

Версия ComboFix устарела и перешла в режим ограниченной функциональности. Скачайте новую версию и повторите выполнение скрипта

Вроде нашел нормальную последнюю версию и он кажется все почистил)) Вот лог:

Только теперь не запускается ни один екзешник, пишет: Попытка произвести недопустимую операцию над параметром реестра, отмеченным для удаления.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Но запускаются через диспетчер задач, жду дальнейших указаний.

c:\windows\system32\ndiswan.dll восстановите так [url]http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765[/url]

Все сделал. Программы запускаются. Отчеты AVZ сделать?

[quote="PEOOPLE3D;859077"]Отчеты AVZ сделать?[/quote]
да.

Вот отчеты AVZ и на всякий сделал лог HijackThis

[URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]удалите Combofix[/URL]

Прокси самии прописывали ? если нет [url=http://virusinfo.info/showthread.php?t=4491]профиксите[/url] в HijackThis
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:64566[/CODE]

Нет, я не прописывал да и хозяйка ноута вряд ли. Профиксил, Combofix удалил.
Меня немного смущает отчет AVZ, там процессы половина красные, это с чем связано может быть или лечение еще не закончено?

Особенности работы AVZ на Вашей системе

Значит все? Система здорова? Спасибо вам большое!!!!!!!!!!!!

[URL="http://virusinfo.info/showthread.php?t=115173&p=858771&viewfull=1#post858771"]этот лог[/URL] на всякий случай повторите

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
lor])

Лог прикрепляю (те же неподписанные дрова). Отправил на проверку, ждем результатов

Файл сохранён как 120119_120212_virusinfo_files_777777777777777_4f180644cb26f.zip
Размер файла 3691473
MD5 e095f68f8cbd5992e7c4de59702bc4eb

Здравствуйте!

[B]Обновите базы AVZ[/B]

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
StopService('BFE');
QuarantineFile('C:\Program Files\WhiteSmokeTranslator\WSTrayDictMode.exe','');
QuarantineFile('C:\Program Files\Dell Wireless\Bluetooth Suite\BtvStack.exe','');
QuarantineFile('C:\Program Files\Dell Wireless\Bluetooth Suite\AthBtTray.exe','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows\system32\NADA.exe','');
QuarantineFile('NADA.exe','');
DeleteFile('NADA.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]Компьютер перезагрузится[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Запустите tdsskiller таким образом: tdsskiller.exe -qsus
Запакуйте папку с карантином утилиты (найдете на диске С) с паролем virus и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

Базы обновил, скрипты выполнил, карантин отправил, логи прикрепил.

[B]Результаты обработки[/B]

[B]Архив 120119_120212_virusinfo_files_777777777777777_4f18 0644cb26f.zip[/B], загружен [B]19.01.2012 16:10:06[/B], размер [B]3691473[/B] байт
Всего файлов: [B]30[/B] (исполняемых [B]28[/B]), из них:
зловреды или опасные объекты: [B]0[/B]
подозрительные: [B]0[/B]
занесены в базу безопасных AVZ: [B]29[/B]
В очереди на добавление в базу безопасных:
высокий приоритет: [B]0[/B]
обычный приоритет: [B]1[/B]

TDSSKiller проверил, ничего не нашел, поэтому и карантина нет, прикрепляю его лог.

всё чисто :)

хорошо, спасибо большое!!! ;)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]40[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]