Здравствуйте, прошу помощи в лечении руткита ZAccess. Подруга принесла ноут и попросила почистить от вирусов, говорила, что самопроизвольно открывались страницы непонятные, да на флешках постоянно файлы пропадали. На ноуте стоял NOD32, но не работал а просто так висел в памяти, я его снес, поставил KIS 2012. Полной проверкой снес очень много вирусов, причем копий по всей системе. Вычистил всю заразу, но после нескольких перезагрузок/проверок чтоб наверняка, был обнаружен в драйвере csc.sys Rootkit.Win32.ZAccess.c. Лечение активных угроз -> Перезагрузка Касперский опять ругается на него, попробовал TDSSKiller, обнаружил его же, лечение, не помогло, после перезагрузки каспер опять ругается, загрузился с лайв сд, заменил драйвером с чистого компа, потом каспер ругался уже на dfsc.sys, вроде вылечил, проверка, другой драйвер, и вот так постоянно только на разные драйверы, в ходе одной из проверок каспер обнаружил еще такую вещь: Backdoor.Win32.ZAccess (букву в конце не помню и не могу посмотреть в каспере, так как каспер отказывался работать и уже несколько раз его переустанавливал) в файле C:\Windows\assembly\GAC_MSIL\Desktop.ini. Он то пропадал, то появлялся, в конечном итоге его удалось удалить с помощью AVZ из безопасного режима. Но не факт. Касперский уже снес cdrom.sys. DrWeb CureIT из безопасного вообще ничего не увидел. Вот сейчас Касперский обнаружил и вылечил klif.sys и tdx.sys якобы удалил но после перезагрузки tdx.sys опять угроза. Вот сделал логи, прикрепляю. Помогите пожалуйста, а то уже не знаю куда и копать то...
P.S. Надеюсь расписал все понятно, если что непонятно - спрашивайте...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) PEOOPLE3D, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте, распакуйте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
То же самое писал, и с переименованием и без.
Решил перекачать и скинуть с другого компа, запустился и почему-то файлы отличаются размером, скорее всего недокачивался...
Оказалось не работает новая версия на которую он просил обновиться, запустилась старая (правда ругался на остатки NOD32, где он их нашел так и не понял), вот лог.
P.S. При перезагрузке ComboFix'ом автоматом запустился каспер (надеюсь не помешал) и опять обнаружил Backdoor.ZAccess.avy в файле C:\Windows\assembly\GAC_MSIL\Desktop.ini
Нет, я не прописывал да и хозяйка ноута вряд ли. Профиксил, Combofix удалил.
Меня немного смущает отчет AVZ, там процессы половина красные, это с чем связано может быть или лечение еще не закончено?
Уважаемый(ая) PEOOPLE3D, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Rootkit.Win32.ZAccess.c
Сообщение от PEOOPLE3D
