Новый зверь

Беглый взгляд показал следующее:

1. Подозриительный драйвер krnqmm.sys (имя abp470n5)(?)
2. нотифи на креатепроцесс, пересоздается
3. не дает открыть касперски.ру и прочие
4. не дает открывать avp, кав, дрвеб
5. запускает два своих процесса из под каждого вновь создаваемого
6. не дает копировать известные ему ав - например cureit
7. Трюк с fixmbr под вендой не прокатил, надо пробовать с бутсд, а его щас нет.
8. Exe файлы поголовно заражены Tanatos.M, Win32/Heur. Лечим по сети щас.

Анализ.

Быстренько проглядел krnqmm.sys, сдампенный с виктима с помощью рку
Обрадовало наличие строк
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000D20 00 75 70 6C 6F 61 64 5F 76 .upload_v
00000D30 69 72 75 73 00 00 00 00 73 61 6C 69 74 79 2D 72 irus....sality-r
00000D40 65 6D 6F 76 00 00 00 00 76 69 72 75 73 69 6E 66 emov....virusinf
00000D50 6F 2E 00 00 63 75 72 65 69 74 2E 00 64 72 77 65 o...cureit..drwe
00000D60 62 2E 00 00 6F 6E 6C 69 6E 65 73 63 61 6E 2E 00 b...onlinescan..
00000D70 73 70 79 77 61 72 65 69 6E 66 6F 2E 00 00 00 00 spywareinfo.....
00000D80 65 77 69 64 6F 2E 00 00 76 69 72 75 73 73 63 61 ewido...virussca
00000D90 6E 2E 00 00 77 69 6E 64 6F 77 73 65 63 75 72 69 n...windowsecuri
00000DA0 74 79 2E 00 73 70 79 77 61 72 65 67 75 69 64 65 ty..spywareguide
00000DB0 2E 00 00 00 62 69 74 64 65 66 65 6E 64 65 72 2E ....bitdefender.
00000DC0 00 00 00 00 70 61 6E 64 61 73 6F 66 74 77 61 72 ....pandasoftwar
00000DD0 65 2E 00 00 61 67 6E 6D 69 74 75 6D 2E 00 00 00 e...agnmitum....
00000DE0 76 69 72 75 73 74 6F 74 61 6C 2E 00 73 6F 70 68 virustotal..soph
00000DF0 6F 73 2E 00 74 72 65 6E 64 6D 69 63 72 6F 2E 00 os..trendmicro..
00000E00 65 74 72 75 73 74 2E 63 6F 6D 00 00 73 79 6D 61 etrust.com..syma
00000E10 6E 74 65 63 2E 00 00 00 6D 63 61 66 65 65 2E 00 ntec....mcafee..
00000E20 66 2D 73 65 63 75 72 65 2E 00 00 00 65 73 65 74 f-secure....eset
00000E30 2E 63 6F 6D 00 00 00 00 6B 61 73 70 65 72 73 6B .com....kaspersk
00000E40 79 y

Гыгыгы, что-то мне это уже напоминает ;о)
Еще один символичный кусочек

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000B10 5C 00 44 00 65 00 76 00 69 00 63 00 65 00 5C 00 \.D.e.v.i.c.e.\.
00000B20 49 00 50 00 46 00 49 00 4C 00 54 00 45 00 52 00 I.P.F.I.L.T.E.R.
00000B30 44 00 52 00 49 00 56 00 45 00 52 00 D.R.I.V.E.R.


AVG, как видно из анализа выше, этот вирус недооценивает, поэтому файловые инфекции успешно были полечены бесплатным AVG-ом

От автозагрузки драйвера krnqmm.sys удалось избавиться, убрав из автозагрузки его и sptd.sys