Rootkit.Win32.Pakas.n и иже с ними

**Ace Wentura** · 17.10.2008, 13:46

Ситуация следующая. Подцепил видимо FF (Во время заражения был 2, но он был снесён и поставлен 3). Затем было несколько различных симптомов, такие как:

странная активность на svchost (скан открытых портов по различным адресам),
украденные пароли от CuteFTP (с последующим появлением на сайтах инородных вкраплений iframe) и ICQ (с невозможностью восстановления)
Файл bvnbeesic.sys, содержащий этот самый Rootkit.Win32.Pakas.n и располагающийся в каталоге system32/drivers/. Ещё вчера утром его не мог определить ни каспер, ни дрвеб (сегодня может, ибо вчера был туда заслан)
отлавливаемые каспером вирусы при попытке загрузки FireFox.

В общем работа встала. Помогите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 17.10.2008, 16:57

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 QuarantineFile('fusstub.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\HH9Help.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\symlcbrd.sys','');
 BC_DeleteSvc('SysSch');
 QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
 DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat Reader 9.0 или удалите старый.
Антивирус Касперского 6.0 для Windows Workstations уже не поддерживается:
http://www.kaspersky.ru/support/kav6...?qid=208636053
Установите новую версию.

**Ace Wentura** · 18.10.2008, 02:12

Акробат удалил
Карантин прислал
С каспера пока уйти не могу - нужно одобрение со стороны IT-начальника. Но вопрос уже задал.
Лог прилагаю

**Гриша** · 18.10.2008, 08:52

KAV WKS поддерживается по сей день, прекратилась поддержка персональных продуктов 6 версии...

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('obmcardge');
 QuarantineFile('C:\WINDOWS\system32\drivers\bvnbeesic.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\bvnbeesic.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('obmcardge');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**Ace Wentura** · 18.10.2008, 15:16

Выполнил скрипт. После перезагрузки возик Active Desktop Recovery (никогда не пользовался Active Desktop).
Появилось сообщение:
В заголовке: taskmgr.exe - Неверный образ
В тексте: Приложение или библиотека с C:/Wybdows/system32/iphlpapi.dll не является образом программы для WindowsNT. Проверьте назначение установочного диска.
Карантин выслал. Логи прилагаю.

**Гриша** · 18.10.2008, 15:17

В логах чисто...

**Ace Wentura** · 18.10.2008, 16:30

Здорово конечно, но от этого варнинги не перестали лезть. Мало того, теперь не только эта dll, но и одна из dll от касперского и pshook.dll от пунто свитчера. С этим-то что делать?

**Гриша** · 18.10.2008, 16:32

Это легитимные файлы, опасности они не представляют, если хотите можете еще выполнить полную проверку CureIT...

**AndreyKa** · 18.10.2008, 16:56

Пришлите пару таких dll по Правилам.

**Ace Wentura** · 19.10.2008, 15:06

Закнул в zip-архив и залил все dll, которые вызывали ошибку. + закинул туда taskmanager. Он у меня в автозапуске дабы отслеживать загрузку проца ну и всё такое. В нём-то и возникают ошибки.

Добавка: CureIt только закончил. Ничего не нашёл.

**AndreyKa** · 19.10.2008, 20:29

Присланные taskmgr.exe и iphlpapi.dll идентичны оригинальным.
Ошибка всегда появляется или время от времени?

**Ace Wentura** · 19.10.2008, 20:52

Ситуация следующая:
У меня в автозагрузке стоит этот самый таск-манагер (естественно ссылка на него). При его загрузке возникает ошибка. При этом, как ни странно, в обычной загрузке таскманагера (по Ctrl+Alt+Del) ошибки не появляется. Странно....

**CyberHelper** · 22.02.2009, 08:41

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\mssrv32.exe - not-a-virus:AdWare.Win32.Virtumonde.amdp (DrWEB: DDoS.Kardraw)

Rootkit.Win32.Pakas.n и иже с ними (заявка № 32235)

Опции темы

Rootkit.Win32.Pakas.n и иже с ними

Итог лечения

Похожие темы

Win32:Rootkit-gen [Rtk], Win32:Malware-gen в msxml3.dll,Win32:Agent-ACTH [Trj],AutoIt:Balero-C [Wrm] как вам мой комплект???

Не удаляется несколько вирусов или после удаления появляются вновь: Packed.Win32.krap.w; Worm.Win32.AutuIt.tc; Rootkit.Win32.TDSS.d (заявка №3859)

Притомаживает комп. При проверке нашлись Win32:Agent-YHH, Win32:Zbot-OE, Win32:Rootkit-gen, Win32:Trojan-gen

Как избавиться от Win32/Wigon.Z, Win32/Rootkit.Agent.NDF, Win32/Rootkit.Agent.DP

Win32/Rootkit.Agent.NDF, Win32/Wigon.Z, Win32/Rootkit.Agent.HU и другие

Ваши права в разделе