Две недели борьбы - RootKit?

[Dr. Byaka]

1. Служба "Восстановление системы" и останавливается и запускается вручную, но при этом ярлыка не появляется
2. инструкции по брандмауеру выполняю, но службы такой не появляется...
3. Рецидивировался вирус, логи прилагаю
4, Источник заразы обнаружен, при открытии форума на php у хостера (Агава) происходит заражение

[Dr. Byaka]

up

[Bratez]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
 QuarantineFile('C:\DOCUME~1\kratenko\LOCALS~1\Temp\winlogon.exe','');
 DeleteFile('C:\DOCUME~1\kratenko\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
 DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_ImportDeletedList;
BC_DeleteSvc('ati2psag');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки карантин по правилам + новые логи.
Антивирус, надеюсь, обновляете? Зараза-то вроде известная уже...

[Dr. Byaka]

1. скрипт выполнил
2. карантин залил, логи прилагаю
3. антивирус с дефинишнс на 27.09.2007, надо наверное ITшников попинать на тему более частого обновления

[Bratez]

winlogon.exe - Trojan-Dropper.Win32.Mudrop.eu
ati2psag.sys - Trojan-Spy.Win32.Banker.ekk
svchost.exe:exe.exe:$DATA - Trojan.Win32.Inject.ga
Судя по логам, все успешно удалены.
Антивирус конечно обновлять надо чаще, а то не будем успевать ваши логи просматривать

[Dr. Byaka]

ok, спасибо большое,
осталось решить, что теперь с сайтом делать?
попробую попросить хостера проверить...

кроме ярлыка восстановления системы и брандмауера оказывается не работает ещё и диспетчер устройств - открывается пустое окно без устройств

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 31
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\kratenko\\local settings\\temp\\winlogon.exe - Trojan-Dropper.Win32.Mudrop.eu (DrWEB: Trojan.Spambot.2384)
  2. c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\evy7c1kz\\n2_18_09_07_0[1].exe - Trojan.Win32.Obfuscated.ij (DrWEB: Trojan.Swizzor)
  3. c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\evy7c1kz\\n2_18_09_07_0[2].exe - Trojan.Win32.Obfuscated.ij (DrWEB: Trojan.Swizzor)
  4. c:\\docume~1\\kratenko\\locals~1\\temp\\winlogon.e xe - Trojan-Dropper.Win32.Mudrop.eu (DrWEB: Trojan.Spambot.2384)
  5. c:\\windows\\system32\\ati2psag.sys - Trojan-Banker.Win32.Banker.ekk (DrWEB: BackDoor.Haxdoor.470)
  6. c:\\windows\\system32\\drivers\\mlx54.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
  7. c:\\windows\\system32\\drivers\\okc30.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
  8. c:\\windows\\system32\\drivers\\qoxg59.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
  9. c:\\windows\\system32\\drivers\\teyo55.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
  10. c:\\windows\\system32\\drivers\\xbey38.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
  11. c:\\windows\\system32\\ldr34.tmp - Trojan-Downloader.Win32.Agent.djt (DrWEB: BackDoor.Bulknet)
  12. c:\\windows\\system32\\svchost.exe:exe.exe:$data - Trojan.Win32.Inject.ga (DrWEB: Trojan.DownLoader.34860)
  13. c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Agent.djt (DrWEB: Trojan.MulDrop.873
  14. f:\\autorun.inf - Trojan.Win32.VB.aqt (DrWEB: Win32.HLLW.Autoruner.274)