Руткит видно только по активности

[Cthulchu]

Вчера, в 15:00 по гмт +2 подцепили в офисе малварь на машинку с нодом 2.7 с сайта ukr.net.
Зараза имитировала работу нового антивируса, показывала фейковый букет малвари, которую она нашла и предлагала удалить. Завершением процессов она ушла. Тут же, без ребута был заинстален смарт секьюрити 4, обновлен и прошла проверочка. После ребута все вроди чисто и опрятно, кроме стремных записей в авторане в реестре, что любезно давал смотреть AVZ. Пробовал удалять - они опять появляются. ComboFix вроди как исправил эту траблу частично. Далее на центральном мониторе появились варнинги, что писали, будто кто-то из запущеных процессов пытается ломиться на левые сайты. Хттп фильтр нода позволял блокировать эти запросы. Сайт, на которые ломился руткит:

Код:

Фильтр HTTP	файл	http://www.bowlingbar.ch/c4.exe	Win32/Kolab.NAC червь	обнаружена угроза: C:\WINDOWS\system32\svchost.exe.

и аналог на файл c5.exe
Сам нод находит и убивает c*.exe в случаях, когда он уже есть на машине, но руткит остается внутри.
Нетривиальность состоит в том, что ботоводы меняют загружаемую малварь очень активно, а руткит остается незамеченым.
Правила прочитал, приложил необходимые логи АВЗ и хайджек.

а теперь посмотрел на соседние темы. у нас стряслось нечто вроди
http://virusinfo.info/showthread.php?t=52486
но автор той темы поздно отпостил. к тому времени мы уже ехали домой с работы. Возможно, он скачал новую версию псевдоантивируса, а мы уже заблокировали подозрительные ресурсы на уровне ipfw.
Соль в том, что описываемые им траблы были и у нас, но фишку с фейком антивируса уже порешили. нод просто не дает ему развернуться. Но руткит остался и он очень любит "патчить" свхостик, либо запускать его со своей библиотекой.
ЗЫ
вопрос на форуме эсета задал, но их форум, наверняка, под ддосом.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
  TerminateProcessByName('c:\DOCUME~1\Admin\LOCALS~1\temp\RarSFX0\6b8z7.exe');
  QuarantineFile('G:\autorun.inf','');
  DeleteFile('c:\DOCUME~1\Admin\LOCALS~1\temp\RarSFX0\6b8z7.exe');
  DeleteFileMask('c:\DOCUME~1\Admin\LOCALS~1\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Cthulchu]

Gmer все ещё прогоняет тест, но вот логи Hijack и AVZ
Карантин не создался.