Вирус Rootkit Podnuha trojan

**Zaur Bedoev** · 12.01.2009, 00:35

Помогите, пожалуйста, вылечить эту гадость. Компьютер был некоторое сремя в локальной сети без антивирусной и firewall защиты и подцепил кучу "болезней".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**light59** · 12.01.2009, 10:34

Скачать этот AVZ http://rapidshare.com/files/181135398/pingpong.pif.html

В скаченном AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\drsb.exe','');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('c:\windows\system32\twext.exe','');
 QuarantineFile('c:\windows\system32\twex.exe','');
 QuarantineFile('c:\windows\system32\ntos.exe','');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
 DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('c:\windows\system32\ntos.exe');
 DeleteFile('c:\windows\system32\twex.exe');
 DeleteFile('c:\windows\system32\twext.exe');
 DeleteFile('ctlsys.dll');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\drsb.exe');
 DeleteFile('E:\autorun.inf');
BC_ImportAll;
 BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=37174
Повторите логи по правилам в скаченном AVZ.

**Zaur Bedoev** · 13.01.2009, 00:06

С этой ссылки не получается скачать AVZ, т.к. его скачали уже больше 10 раз.

**Гриша** · 13.01.2009, 00:13

http://depositfiles.com/files/5k0qihqas

**Zaur Bedoev** · 17.01.2009, 19:54

Спасибо за AVP. Карантин я вам переслал, новые логи приложены к данному сообщению.

**light59** · 17.01.2009, 21:45

Почитайте в правилах, как нужно присылать карантин (пункт 3 правил). Вы прислали пустой архив.

"Пофиксите" в HijackThis

Код:

O4 - Startup: is-VRDG9.lnk = ?
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: ctlsys - C:\WINDOWS\

В AVZ

Код:

begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\fixustor.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ojwgvhrv.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

Карантин пришлите по правилам по той же ссылке.

**Zaur Bedoev** · 18.01.2009, 13:30

Карантин прислал еще раз, даже 2 раза. Скрипты выполнил. Необходимо ли еще раз присылать логи?

**Гриша** · 18.01.2009, 13:32

Да, повторите логи...

**Zaur Bedoev** · 18.01.2009, 18:45

Новые логи приложены к сообщению

**Zaur Bedoev** · 01.02.2009, 13:34

Мне казалось, что вирус пропал, но он опять появился. Через неделю я провел проверку NOD32, и он обнаружил Rootkit Podnuha trojan.

Посмотрите, пожалуйста, приложенные логи.

**Гриша** · 01.02.2009, 17:48

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\ojwgvhrv.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ojwgvhrv.sys');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('ojwgvhrv');
BC_DeleteSvc('ojwgvhrv');
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...