13 ответов в этой теме

[Yanik]

Друзья попросили вылечить комп. Лечил dr.web beta + avz4 + antirootkit(много и разных).

В конце концов остался только один вирус. После удаления (full scan dr. web / avz4) и сразу после ребута появлялся:

C:\Windows\system32\autochk.exe packed by FLY-CODE
>C:\Windows\system32\autochk.exe packed by BINARYRES
>>C:\Windows\system32\autochk.exe infected with Trojan.MulDrop1.48540

И так и эдак мучился, надоело - reinstall windows 7 x32 professional + format HDD в процессе. После установки - сразу поставил доктора, скан - и опа, наш знакомый:

C:\Windows\system32\rpcnetp.dll infected with Trojan.MulDrop1.48540
C:\Windows\system32\rpcnetp.exe infected with Trojan.MulDrop1.48540


Дальше запускаю ваш drweb-scan.bat, находит он только эти 3 файла, удаляет, ребут просит. При ребуте - BSOD. После бута - ни минидампа, ни фуллдампа нету. Проверил настройки дампа - всё ок стояло, скан - 3 вируса, ребут, BSOD, нету дампов. Думаю перепишу хотябы инфо с экрана. Скан - нашёл 3 файла - прервал скан - select all - cure - УДАЛИЛ все 3, ребут не попросил! (облом с BSOD info)

Сам ребутнул, прогнал весь drweb-scan.bat (3 скана) - всё чисто.
Собрал логи sysinfo
Собрал rpcnetp.exe и rpcnetp.dll из карантина
Сделал лог mbr.exe (http://www.gmer.net/#files) - всё чисто
Сделал лог catchme.exe (http://www.gmer.net/#files):

Spoiler

[codebox]detected NTDLL code modification:
ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error[/codebox]

Rootrepeal не запустился:

Spoiler

[codebox]11:12:41: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000dc)
11:12:41: DeviceIoControl Error! Error Code = 0x1e7
11:12:41: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000dc)[/codebox]

GMER - log прикреплю - ничего не нашёл
RKU - вроде тоже ничего не нашёл.

[YVS]

Так а где логи-то?

[mrbelyash]

C:\Windows\system32\autochk.exe-скорей всего ложное срабатывание

[Yanik]

Если оно будет вести себя так же как и до переустановки windows, то завтра снова появятся эти файлы. Я уже параноик с этими руткитами.

Сейчас прогоню AVZ4 скан... любые советы приветствуются.

[mrbelyash]

Лечить бетой опасно...очень много ложняков...

Не могли бы вы эти файлы прислать?Или уже удалили?

[Yanik]

Лечить бетой опасно...очень много ложняков...
Не могли бы вы эти файлы прислать?Или уже удалили?

autochk.exe - удалился, хотя выбирал cure -> move uncureable

rpcnetp.dll + rpcnetp.exe - прикреплены в virus_rcpnetp.rar из карантина.

Про ложняки знаю, по возможности всё в карантин.

[Borka]

А детект только на C:\Windows\system32\autochk.exe ? Нет того же детекта на файл C:\WINDOWS\system32\dllcache\autochk.exe ?

[mrbelyash]

Пока оформил сюда...подождем вердикта

http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0051844

[Yanik]

А детект только на C:\Windows\system32\autochk.exe ? Нет того же детекта на файл C:\WINDOWS\system32\dllcache\autochk.exe ?

На этот файл детекта не было.
+ такая же бета доктора на другом PC + windows 7 x32 и на моём 7 x64 ничего не находит в autochk.exe, а rpcnetp.exe вообще нету.

[Yanik]

Пока оформил сюда...подождем вердикта
http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0051844

Таки фолс. Ну и слава богу, а то с этими rootkit-ами я уже тааааким параноиком стал. Странно мне что на других моих PC таже beta на autochk.exe не ругалась так... + жаль что BSOD тот я не отловил.

[_Sandra_]

http://www.rom.by/article/BIOS-nyj_trojan_ot_Absolute_Software

 

Заклдка обнаружилась и у меня в биосе ноутка (hp probook 4530), в AbsoluteDriver.efi, в нем встречаються все те же пути к "\SystemRoot\System32\AUTOCHK.EXE:BAK", "\SystemRoot\SysWOW64\rpcnetp.exe" и т.п. Есть ли какие следы в самой винде - еще не выяснял.

[v.martyanov]

http://www.rom.by/article/BIOS-nyj_trojan_ot_Absolute_Software

 

Заклдка обнаружилась и у меня в биосе ноутка (hp probook 4530), в AbsoluteDriver.efi, в нем встречаються все те же пути к "\SystemRoot\System32\AUTOCHK.EXE:BAK", "\SystemRoot\SysWOW64\rpcnetp.exe" и т.п. Есть ли какие следы в самой винде - еще не выяснял.

Засылайте этот efi в вирлаб.

[_Sandra_]

Так это заводкой биос Они на все ноуты идут. Другой вопрос можно ли управлять этим, или оно само по себе...

[lazarevee]

В этом ничего не найдено. Засылайте ваш в вирлаб