Невыводящиеся руткиты и проблема с DNS

[DuH.Khv]

Доброго времени суток.

Система OS WinXP SP3
АПО: Avira Premium Security Suite (Без фаервола)
Firewall: Outpost Firewall Pro 2009.

Выполнил все пункты по правилам - CureIt от 25.09.2008 ничего не нашел.

Проблемы:

1) Самопроизвольное проставление DNS адресов в сетевом подключении на ip :85.225.115.54 и 85.225.112.23. По результатам http://www.db.ripe.net/whois?form_ty...&submit=Search
Ripe.net
address: Box 47645
address: 117 94 Stockholm
address: Sweden
Живу на Дальнем Востоке - с этих DNS серверов инфу получать не должен.
На эти сервера постоянно открыт 53 порт. Количество подключений варьируется от 1 до 30-40.

2) После КАЖДОЙ полной проверки AVZ восстанавливает функции 49 руткитов. После перезагрузки и повторного сканирования это происходит опять, а файлы прописанные как драйвера AVZ не удаляет.

Вот собственно и все. Жду и Надеюсь на вашу помощь.

[PavelA]

Делать со вставленной флешкой.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('J:\autorun.inf','');
 QuarantineFile('I:\autorun.inf','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\kdihj.exe','');
 QuarantineFile('C:\WINDOWS\system32\2A8.tmp','');
 DeleteFile('C:\WINDOWS\system32\2A8.tmp');
 DeleteFile('C:\WINDOWS\system32\kdihj.exe');
 DeleteFile('I:\autorun.inf');
 DeleteFile('H:\autorun.inf');
 DeleteFile('J:\autorun.inf');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин.

Сделать новые логи.

Большинство ваших руткитов легальные.

[DuH.Khv]

Сделал.
Букв много для дисков - не флеш, а винчестеры.
После скана - 15 руткитов обнаружено.
Самостоятельно удалил Sandbox.sys до того, как Вы отписались.
Теперь Agnitum кричит при загрузке, что не может загрузить этот драйвер.
Спасибо за мобильность. Жду.

[Гриша]

Кто-то просил удалить его? это драйвер аутпост...

Пофиксить

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - Startup: StartupFaster
O4 - Global Startup: StartupFaster
O17 - HKLM\System\CCS\Services\Tcpip\..\{91394B46-4FD9-4EE9-8213-83159601BA09}: NameServer = 85.255.115.54,85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5E0F156-AE85-46DC-8135-B1FE1A4E354D}: NameServer = 85.255.115.54,85.255.112.23

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('kdihj.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[DuH.Khv]

Проблема с DNS адресами решилась уже после 1 фикса от PavelA.
За Sandbox.sys спасибо - верну.
Выполнил все фиксы от Гриша.
После последнего сбора информации никаких функций восстановлено не было.

Логи Прикрепил, но я так понимаю, что это финиш. Жду ответа.

Большое Спасибо за быструю помощь.

[Rene-gad]

Ничего подозрительного.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 20
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\autorun.inf - Worm.Win32.AutoRun.nuu (DrWEB: Win32.HLLW.Autoruner.2805)
  2. c:\\windows\\system32\\kdihj.exe - Trojan.Win32.DNSChanger.jiv (DrWEB: Trojan.DnsChange.991)
  3. h:\\autorun.inf - Worm.Win32.AutoRun.spw (DrWEB: Win32.HLLW.Autoruner.2805)
  4. i:\\autorun.inf - Worm.Win32.AutoRun.rsg (DrWEB: Win32.HLLW.Autoruner.2805)
  5. j:\\autorun.inf - Worm.Win32.AutoRun.spw (DrWEB: Win32.HLLW.Autoruner.2805)
  6. \\quarantine_1\\2008-09-26\\bcqr00009.dta - Trojan.Win32.DNSChanger.jiv (DrWEB: Trojan.DnsChange.991)
  7. \\quarantine_1\\2008-09-26\\bcqr00010.dta - Trojan.Win32.DNSChanger.jiv (DrWEB: Trojan.DnsChange.991)