руткит в компьютере

[Gamil]

symantek и avz находят руткит.
проверил cureit в сейф моде, правда пришлось прервать полную проверку.
логи avz и hijack приложил

[Kuzz]

Выключить антивирус, фаервол и другой защитный софт.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\uti4mzqz.sys','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LMBOP2R\explorer[1].exe','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
 QuarantineFile('%SYSTEMDRIVE%\ScriptLogic\Daci.dll','');
 QuarantineFile('C:\WINDOWS\system32\svcnost.exe,','');
 DeleteFile('C:\WINDOWS\system32\svcnost.exe,');
 DeleteFile('digiwet.dll');
 DeleteFile('C:\WINDOWS\system32\digiwet.dll');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LMBOP2R\explorer[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2. Повторить логи

В настоящий момент антивирус Symantec детектирует драйвер AVZ как троян. Это ложное срабатывание

[Gamil]

Симантек отключил, а ничего другого включенного не нашел. Скрипт выполнил, карантин выложил, логи прикрепил

[Gamil]

Я как то не так выложил логи? или что то тяжкое ?

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\rdl61.tmp.exe','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0PE3GTI7\pin[1].exe','');
 DeleteFile('C:\WINDOWS\Temp\rdl61.tmp.exe');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0PE3GTI7\pin[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Gamil]

Сделал.


PS А что за uti4mzqs.sys в system32\drivers обнаруживается и симантеком и AVZ.

Что то выкладывание логов и карантина не работает, как смогу выложу

[PavelA]

Это драйвер AVZ вроде бы раньше был. На него Симантек всегда ругается.

[Gamil]

выложил логи и карантин

ПС Так на uti4mzqs.sys сам AVZ пишет что это подозрение на руткит в процессе проверки поэтому забеспокоился .

[PavelA]

Станд. скрипт №6 выполни, а потом проверку сделай. Скорее всего, это драйвер от старой версии AVZ.

[Gamil]

Выполни в авз 6-й скрипт по удалению драйверов.
Проверил симантеком папку system32 - ничего не нашел
А в остальном все нормально было ?

[PavelA]

Было удалено:
pin[1].exe,
rdl61.tmp.exe - Trojan.Win32.Buzus.aysl

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\0pe3gti7\pin[1].exe - Trojan.Win32.Buzus.aysl ( BitDefender: Trojan.Generic.1776804 )
  2. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\8lmbop2r\explorer[1].exe - Trojan-Dropper.Win32.Agent.anty ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Generic.1757627 )
  3. c:\windows\temp\rdl61.tmp.exe - Trojan.Win32.Buzus.aysl ( BitDefender: Trojan.Generic.1776804 )