Прошу помочь с удалением Backdoor.Sinowal

[Admin]

Так же всё ок.

И AVG и AD-aware всё так же находят, что что и раньше ?
И при удалении эти объекты восстанавливаются ?

[Peregrino]

@Valeri wrote:

Так же всё ок.

И AVG и AD-aware всё так же находят, что что и раньше ?
И при удалении эти объекты восстанавливаются ?

Да, восстанавливаются. Причем AVG после перезагрузки говорит, что rootkit удален и сразу же находит новый файл.

[Admin]

Проверьте файл на сайте VirusTotal.
В поле Отправить файл кликните по кнопке Browse/Обзор.
Выберите файл

c:windowssystem32drivershddirect.sys

Кликните по кнопке Отправить файл.

Результат сканирования вставьте в ваше следующее сообщение.

[Peregrino]

Файл C1C994918855C3382E2000BD138E0100E9757615.sys получен 2009.08.31 21:27:29 (UTC)
Текущий статус: закончено
Результат: 0/41 (0.00%)
Форматированные Форматированные
Печать результатов Печать результатов
Антивирус Версия Обновление Результат
a-squared 4.5.0.24 2009.08.31 —
AhnLab-V3 5.0.0.2 2009.08.31 —
AntiVir 7.9.1.7 2009.08.31 —
Antiy-AVL 2.0.3.7 2009.08.31 —
Authentium 5.1.2.4 2009.08.31 —
Avast 4.8.1335.0 2009.08.31 —
AVG 8.5.0.406 2009.08.31 —
BitDefender 7.2 2009.08.31 —
CAT-QuickHeal 10.00 2009.08.31 —
ClamAV 0.94.1 2009.08.31 —
Comodo 2125 2009.08.31 —
DrWeb 5.0.0.12182 2009.08.31 —
eSafe 7.0.17.0 2009.08.31 —
eTrust-Vet 31.6.6713 2009.08.31 —
F-Prot 4.5.1.85 2009.08.31 —
F-Secure 8.0.14470.0 2009.08.31 —
Fortinet 3.120.0.0 2009.08.31 —
GData 19 2009.08.31 —
Ikarus T3.1.1.68.0 2009.08.31 —
Jiangmin 11.0.800 2009.08.31 —
K7AntiVirus 7.10.832 2009.08.31 —
Kaspersky 7.0.0.125 2009.08.31 —
McAfee 5726 2009.08.31 —
McAfee+Artemis 5726 2009.08.31 —
McAfee-GW-Edition 6.8.5 2009.08.31 —
Microsoft 1.5005 2009.08.31 —
NOD32 4385 2009.08.31 —
Norman 2009.08.31 —
nProtect 2009.1.8.0 2009.08.31 —
Panda 10.0.2.2 2009.08.31 —
PCTools 4.4.2.0 2009.08.31 —
Prevx 3.0 2009.08.31 —
Rising 21.45.04.00 2009.08.31 —
Sophos 4.45.0 2009.08.31 —
Sunbelt 3.2.1858.2 2009.08.31 —
Symantec 1.4.4.12 2009.08.31 —
TheHacker 6.3.4.3.393 2009.08.31 —
TrendMicro 8.950.0.1094 2009.08.30 —
VBA32 3.12.10.10 2009.08.31 —
ViRobot 2009.8.31.1909 2009.08.31 —
VirusBuster 4.6.5.0 2009.08.31 —
Дополнительная информация
File size: 11912 bytes
MD5 : a4c079ea8c71111f2bf0a2f1f3c46353
SHA1 : a2f71f7f84f42c19c8cc2befd40270bc778e3dae
SHA256: 2e746e2deb7ba7b41fc9166cf3b85e43790e8ba00ae30b3f717b95ac01d1e4bc
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xF1C
timedatestamp…..: 0x4A8E664F (Fri Aug 21 11:18:07 2009)
machinetype…….: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0xCF2 0xD00 6.55 eafa07e064237145722dffffc0c4821c
.rdata 0x1000 0x105 0x180 3.13 3451bfe086154dc33020ae8f47b688cd
.data 0x1180 0x424 0x480 0.06 24a2c116bf424741228cd9b672a2ad99
INIT 0x1600 0x1CE 0x200 4.57 85548beb67956ee6fc92779941f0327d
.reloc 0x1800 0x122 0x180 3.82 c3fb8c4b62685a32922e3071b1011a57

( 2 imports )

> hal.dll: READ_PORT_USHORT, WRITE_PORT_USHORT, READ_PORT_UCHAR, WRITE_PORT_UCHAR
> ntoskrnl.exe: ExAllocatePoolWithTag, ExFreePoolWithTag, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IofCompleteRequest, DbgPrint, IoDeleteSymbolicLink, IoDeleteDevice, KeTickCount

( 0 exports )
TrID : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 192:hStj6osgq0VGwyI0N1Omc+yowJL/aMjGwP7zMWr+ebMh5tM0Z:hWsgq+II0ekYJLWw9bYBZ
PEiD : —
RDS : NSRL Reference Data Set
—

[Admin]

Извиняюсь за задержку с ответом.

Пришлите пожалуйста такие же скриншоты, как вы делали ранее. Необходимо сравнить с более ранними. Кроме этого если будет возможность сохранить Scan log, то его содержимое так же вставьте в сообщение.

[Peregrino]

Готово.

[Admin]

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

RegLock::

[HKEY_LOCAL_MACHINEsystemcontrolset001enumrootlegacy_{def85c80-216a-43ab-af70-1665edbe2780}]

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetenumrootlegacy_{def85c80-216a-43ab-af70-1665edbe2780}]



Driver::

{def85c80-216a-43ab-af70-1665edbe2780}



Registry::

[-HKEY_LOCAL_MACHINEsystemcontrolset001enumrootlegacy_{def85c80-216a-43ab-af70-1665edbe2780}]

[-HKEY_LOCAL_MACHINEsystemcurrentcontrolsetenumrootlegacy_{def85c80-216a-43ab-af70-1665edbe2780}]

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Peregrino]

Вставляю:

[Admin]

Лог выглядит нормально. Что говорят AD-Aware и AVG ?

[Peregrino]

Ad-Aware молчит, AVG ругается. Это не может быть ложной тревогой?

[Admin]

AVG ругается. Это не может быть ложной тревогой?

Да, возможно ложная тревога.
Тем более Combofix не показывает никаких проблем.

Пришлите свежий RSIT лог и Combofix лог.

[Peregrino]

Готово.

[Admin]

Логи выглядят нормально.
Так что наибиболе вероятно, что то, на что ругается AVG — ложная тревога. Суду по всему, этот файл от вашего антивируса.

[Peregrino]

Спасибо! Но и та въедливая гадость была, конечно.

[Admin]

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!

[Автор]

Сообщения