Неизвестный RootKit (?)

[mcuni]

Здравствуйте.

Помогите вывести заразу. Вкратце: что-то сидит и палится AVZ как перехватчик.. Периодически меняет имя - начиналось все с spom.sys, потом фиксировался spjb.sys, потом spsb.sys, сейчас судя по логам spxf.sys. Причем! Когда я копировал из окна AVZ фразу "перехватчик spom.sys" и вставлял ее в яндекс, после нажатия кнопки поиск строчка менялась на "перехватчик spam.sys", и это не глюк - проделывал несколько раз. С новыми именами такого вроде бы не происходит.

Лог скрипта лечения не приложил, т.к. он прервался с ошибкой секунд за 6 до конца выполнения. Возможно, потому, что я попытался закрыть окно со списком стандартных скриптов. Там не было найдено ровным счетом ничего, кроме все того же перехватчика sp**.sys. CureIt тоже ничего не видит. Может быть, возможно обойтись без этого лога, проверка всего диска занимает много времени?

Вместе с этой штуковиной появился вирус в system32/ati32evx.dll - шифровался под ati32evxx.dll, который вроде как нормальный драйвер (а может, изначально он и был ati32evx, да вирус его переименовал, не знаю). Фишка в том, что слева в информации о файле показывалась дата создания аж 2003 года, а во всплывающей подсказке при наведении на файл палилась дата создания 08.02.2008... Файл вроде как удалился отложенным удалением в avz. Копию в архиве с паролем infected отправил на [email protected]. Вот что про него сказали на virustotal:

AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - Win32:BHO-KD
AVG - - Downloader.Delf.12.AG
BitDefender - - Trojan.Spy.Bzub.NGP
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - Win32/Kvol!generic
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Virus.Win32.BHO.KD
McAfee - - -
Microsoft - - Trojan:Win32/Boaxxe.B
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - Generic.Malware
Rising - - -
Sophos - - Sus/DelpDldr-A
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -

Если необходимо, могу прислать.

[Bratez]

sp??.sys - это от DaemonTools.

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINXP\system32\gebyy.exe','');
 DeleteFile('D:\WINXP\system32\gebyy.exe');
 DelBHO('{55244D38-1BE3-48D7-89BB-5ED23EA6FF7D}');
BC_ImportDeletedList;
BC_QrSvc('catchme');
BC_QrSvc('WebSearchService');
BC_DeleteSvc('catchme');
BC_DeleteSvc('WebSearchService');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин, если будет не пуст.
Повторите логи.