очень злобный руткит

**marinka1284** · 02.02.2010, 11:06

добрый день!
у меня на машине завёлся какой-то особо злобный руткит.
на текущий момент эта зараза не дат даже авз запустить: если его не переименовывать, то открытая папка с файлом avz.exe очень быстро закрывается. я успела его переименовать, но лучше не стало. запустить-то его получается, по где-то через полсекунды компьютер выключается сам собой.
я правда успела один раз его прогнать, не знаю уж, почему так получилось, что в первый раз вирус мне это позволил. так что логи есть, но они могут быть не слишком показательны относитльно настоящего момента, к сожалению.
полностью отключить авиру я тоже не могу: полноценно она и не стартует, никакие экзешники из соответствующей папки в program files не запускаются (пишет, что из-за политики безопасности винды всякую непроверенную фигню запускать не будет. советует обратиться к администратору). в автозагрузке (в msconfig'е) я убила всё, кроме ctfmon'а. и всё равно какие-то следы от авиры остаются, так что выполнить проверку и получить лог по всем правилам я просто не могу (по крайней мере, не знаю, как мне это сейчас сделать).
в связи со всем этим помимо вопроса номер ноль (как это всё лечить теперь?) есть ещё один: можно ли получить соответствующие логи, загрузившись с liveCD? в safe mode процесс explorer.exe вообще отказывается стартовать, так что этот вариант тоже отпадает.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 02.02.2010, 11:36

virusinfo_cure.zip - уберите из вложений!
Отключите восстановление системы!!!
Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\marinka\Application Data\AdSubscribe\AdSubscribe.dll','');
 QuarantineFile('C:\DOCUME~1\marinka\APPLIC~1\FieryAds\FieryAds.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
 QuarantineFile('C:\WINDOWS\Temp\4.tmp','');
 QuarantineFile('C:\WINDOWS\system32\abkzh.dll','');
 QuarantineFile('C:\WINDOWS\Help\isconcepts.chm:QZL7Yuht0CQoWXGSmIVy:$DATA','');
 DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
 DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
 DeleteFile('C:\WINDOWS\Help\isconcepts.chm:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\Help\joy.chm:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\Help\oe_msgr.chm:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\Help\smlogcfg.chm:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\Help\timesrv.chm:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\Help\wab.chm:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\inf\divasrv.inf:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\inf\dot4.inf:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\inf\fxsocm.inf:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\inf\ims.inf:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\Q51-9.inf:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\system32\abkzh.dll');
 DeleteFile('C:\WINDOWS\system32\dllcache\telephon.cpl:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\system32\ieuinit.inf:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\system32\iqftjtuw.dll');
 DeleteFile('C:\WINDOWS\system32\kfn.dll');
 DeleteFile('C:\WINDOWS\system32\mpg2splt.ax:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\system32\qclb.dll');
 DeleteFile('C:\WINDOWS\system32\scpwqvff.dll');
 DeleteFile('C:\WINDOWS\system32\telephon.cpl:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\system32\VSFLEX3.OCX:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\system32\webfldrs.msi:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\system32\wscui.cpl:QZL7Yuht0CQoWXGSmIVy:$DATA');
 DeleteFile('C:\WINDOWS\Temp\4.tmp');
 DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\DOCUME~1\marinka\APPLIC~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\Documents and Settings\marinka\Application Data\AdSubscribe\AdSubscribe.dll');
 DeleteFile('G:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки. Выполните такую процедуру - http://virusinfo.info/~virusinf/showthread.php?t=43700
Сделайте новые логи по правилам

**marinka1284** · 02.02.2010, 11:46

извините, но вы, кажется, не прочли текст:
я НЕ МОГУ сделать по правилам, потому что авз вообще не запускается больше.
фаервол выключен в принципе
антивир тоже не могу отключить, он вообще только в процессах существует, а так к нему не подобраться: ни в трее, ни просто через его экзешники. автозагрузку антивира я выключала, а всё равно соответствующие процессы никуда не пропали.

не могу я выполнить скрипт в авз, он НЕ ОТКРЫВАЕТСЯ!
извините ещё раз.

имеет ли смысл пытаться запустить проделать всё это, запускаясь с liveCD, или кроме переустановки системы уже ничего не спасёт? из самой системы сделать уже ничего нельзя.

**pig** · 02.02.2010, 12:03

Попробуйте полиморфную AVZ: http://depositfiles.com/files/1jhwjnd2h

**marinka1284** · 02.02.2010, 12:17

отключить восстановление системы я тоже не могу, кстати, потому что у меня оно и не включено.
вкладки system restore в свойствах my computer и вовсе нет.

попытка запустить gmer приводит к бсоду. ну т.е. некоторое время он работает, а потом выпадает в синий экран смерти.

запустить авз из "родной" системы не получается, а при загрузке с liveCD он вообще не видит диск С (пишет про отсутствие харда)

что-то ещё можно попробовать?

Добавлено через 11 минут

полиморфная версия тоже не работает: программа (авз) запустилась, через полсекунды винда бодро сообщила, что выключает комп и таки выключила его.
эхх =(
а для полного счастья у меня на машине рейд 0 стоит, так что принести хард какому-нибудь знакомому, чтоб тот его из-под свой системы почистил, тоже не получится

**DefesT** · 02.02.2010, 12:28

Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb (ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.0.iso) или Rescue Disc от Kaspersky Lab (http://devbuilds.kaspersky-labs.com/...escue_2008.iso). Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь (http://virusinfo.info/showpost.php?p=557652&postcount=5), после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.

**marinka1284** · 02.02.2010, 12:41

спасибо, попробую (правда это только вечером: сейчас нет чистой болванки для записи нового диска. глупо, но придётся подождать)

пробовала проверить GMER'ом, не получилось: на полдороги он вывалился в бсод. правда всё, что он нашёл, обязатльно содержит комбинацию "QZL7Yuht0CQoWXGSmIVy"
вчера я тоже пыталась его запустить (и тоже он выпал на полпути), волшбные буквы были те же, а библиотека, на которую указывал гмер — другая (а вот value те же самые). причём если просто открыть соответствующую папку проводником, этих библиотек вообще не видно.

по результатам проверки liveCD отпишусь. если будт возможность наконец оформить логи по правилам — сделаю и их тоже.

**marinka1284** · 03.02.2010, 00:41

кажется, оба liveCD бесполезны: сканеры не видят хардов. подозреваю, что проблема в том, что у меня два терабайтных харда в рейд 0 собраны, а тот уже попилен на диски С и Д.

при попытке зайти с какого-то виндового liveCD такой же эффект: почти все утилиты не могут прочитать инфу с хардов (включая авз, кстати).
как бы это побороть?

gmer (проверка не была закончена, потому что бсод появляется раньше конца проверки) рапортует, что руткит присутствует. лог в приложении.

зы: а вот что мня удивляет, так это то, что ВСЕ антивирусы/антивриусные утилиты либо были убиты, либо не запускаются (авз запускается на долю секунды, после чего комп выключается). но при этом мне "великодушно позволили" выйти в инет, скачать касперского, установить, обновить и проверить систему.

**marinka1284** · 03.02.2010, 03:06

после некоторого количества танцев с бубном с привлечением касперского жизнь стала лучше.
логи в аттаче.

**DefesT** · 03.02.2010, 12:23

Походу Каспер хорошо постарался с зачисткой

9. Мастер поиска и устранения проблем
>> Заблокированы настройки системы System Restore

AVZ - "файл" - Мастер поиска и устранения проблем - исправить
Выполните такую процедуру - http://virusinfo.info/~virusinf/showthread.php?t=43700
затем, закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
 QuarantineFile('C:\Documents and Settings\marinka\Application Data\AdSubscribe\AdSubscribe.dll','');
 DeleteFile('C:\Documents and Settings\marinka\Application Data\AdSubscribe\AdSubscribe.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log

**marinka1284** · 03.02.2010, 22:26

у меня такое ощущение, что это system restore у меня вообще появилось только с combofix'ом, который его из инета вытянул, потому что при установке он пожаловался на отсутствие соответствующей утилиты.