Rootkit.Win32.Agent.dp

[DPS [CCCP]]

Добрый день!

В субботу посетил сайт red.iskra-net.ru (собственный игровой ресурс, повидимому в недавнем времени был взломан), после чего был тотально заражен вирусами. Большинство вирусов было удалено с помощью AWG, SpyBot и NOD32, кроме одного...

Не могу избавиться от
C:\WINDOWS\system32\drivers\ip6fw.sys >>>>> Rootkit.Win32.Agent.dp

Пытался удалить файл из под safe mode но он появляется заново.

Кроме того, AVZ при проверке системы несколько раз пишет
C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

Помогите пожалуйста!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
 QuarantineFile('C:\Documents and Settings\Pavel\Application Data\svchost.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\Documents and Settings\Pavel\Главное меню\Программы\Автозагрузка\virtP.bat','');
 QuarantineFile('C:\DOCUME~1\Pavel\LOCALS~1\Temp\_uninstop.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
 QuarantineFile('C:\WINDOWS\system32\MailSpectre.exe','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_ImportQuarantineList;
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('ICF');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[DPS [CCCP]]

Файл закачен

Добавлено через 3 минуты

Похоже ошибся, переслал не весь карантин. Перезакочать?

[Bratez]

Кроме удаленных скриптом, определился:
MailSpectre.exe - Trojan.Win32.Agent.bap

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Pavel\Application Data\svchost.exe,
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [outpost_uninst] C:\DOCUME~1\Pavel\LOCALS~1\Temp\_uninstop.exe /u

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\system32\mailspectre.exe');
 BC_DeleteFile('c:\windows\system32\mailspectre.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новые логи.

Добавлено через 1 минуту

В карантине не хватает:
C:\Documents and Settings\Pavel\Application Data\svchost.exe
C:\DOCUME~1\Pavel\LOCALS~1\Temp\_uninstop.exe
Если есть, пришлите только их по правилам.

[DPS [CCCP]]

Логи прикреплены, недостающие части карантина загружены (хотя в карантине пишеться что их размер равен нулю.

[DPS [CCCP]]

Также в Temp странные экзешники с именами 111890.exe, 166937.exe и т.п.

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

Выполните такой скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки добавьте в карантин пару-тройку этих экзешников из Temp и папку эту очистите. Также очистите временные файлы IE.
Новый карантин пришлите по правилам.

[DPS [CCCP]]

Еще в "процессах" заметил следующие вещи, которых вроде бы раньше небыло:
wmiprvse.exe
symlcsvc.exe

Добавлено через 13 минут

Новый карантин закачал

[Bratez]

smtpdrv.sys - свежая версия Trojan.Pandex aka Email-Worm.Win32.Agent.l.

Выполните такой скрипт:

Код:

begin
 BC_DeleteSvc('smtpdrv');
 BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_Activate;
RebootWindows(true);
end.

Сделайте логи еще раз для контроля.
На этом, надеюсь, лечение будет закончено.

Поставьте себе антивирус, иначе нам придется ваш компьютер
каждый день лечить

[Muzzle]

+1 вот список рекомендуемых нами антивирусов http://www.virusinfo.info/showthread.php?t=1550

[DPS [CCCP]]

Все сделал, вроде бы все вылечилось Компьютер стал загружаться\выключаться в разы быстрее, и работа стала быстрее и стабильнее
Спасибо большое!!!

Прикладываю финальные логи...

[Bratez]

Теперь все чисто. Я бы еще удалил ошметки от Symantec, например так:

Код:

begin
 DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll');
 DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

(выполнять из безопасного режима)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\pavel\\local settings\\temp\\111890.exe - Email-Worm.Win32.Agent.l (DrWEB: Trojan.MailSpectre)
  2. c:\\documents and settings\\pavel\\local settings\\temp\\166937.exe - Email-Worm.Win32.Agent.l (DrWEB: Trojan.MailSpectre)
  3. c:\\documents and settings\\pavel\\local settings\\temp\\185312.exe - Email-Worm.Win32.Agent.l (DrWEB: Trojan.MailSpectre)
  4. c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
  5. c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360)
  6. c:\\windows\\system32\\mailspectre.exe - Trojan.Win32.Agent.bap (DrWEB: Trojan.MailSpectre)
  7. c:\\windows\\system32\\svchost.exe:exe.exe - Trojan-Downloader.Win32.Agent.aii (DrWEB: BackDoor.Bolg)