Trojan-Proxy.Win32.Pixoliz.a

[Ven]

День добрый!
McAfee увидел Trojan Spam-Xarsever в файле c:\windows\system32\simp_dll.dll. По понимаю AVZ это Trojan-Proxy.Win32.Pixoliz.a.
McAfee удалить файл не смог. Я удалил его с помощь Unlocker. После перезагрузки файл снова появился. McAfee не смог предотвратить его создание. Видимо, по причине того, что он создался до запуска McAfee.

Логи прилагаются.
Очень прошу помочь.

[V_Bond]

Логи прилагаются.

внимательно прочитайте правила ... какие логи присылать и как их прикреплять ...

[Ven]

Я так и делал. Почему-то ничего не прикрепилось. Возможно, как раз потому, что этот вирь мне канал убивает - даже модем зависает из-за него

[V_Bond]

судя по всему все золовреды уничтожены для контроля сделайте заново virusinfo_syscheck.zip ...

[Ven]

Да не уничтожены...файл появляется снова и снова. Файл не могу предоставить сейчас. Пишу из дома, а проблема в офисе.
Думаю, надо искать откуда эта зараза появляется.

[V_Bond]

логи все равно повторите ...

[Ven]

Повторю уже завтра, наверное.
А лечить как, все-таки?

[V_Bond]

будут логи вылечим ....

[Ven]

Не особо понимаю что могло измениться с момента последних логов.
Вы просите лог, называя имя файла. Можно узнать какая это из процедур - до перезагрузки или после нее?

[V_Bond]

внимательно прочитайте http://virusinfo.info/showthread.php?t=1235
особенно что касается пункта 10 ...

Код:

10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

выполните это исходя из него будем лечить...

[Ven]

Угу, понял...так вот я Вам ответственно заявляю:
Я проверку делал дважды. Между проверками была перезагрузка. То, что я выложил на форум - это результаты второй проверки.

[V_Bond]

я так понимаю вам просто тяжело сделать дополнительный лог ...
пожалуйста вот скрипт лечения ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('C:\WINDOWS\system32\wuauclt.exe',''); 
 QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
 DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
 end.

после выполнения скрипта пришлите карантин согласно приложения 3 правил ...
повторите все 3 лога ....

[Ven]

Да, тяжело потому что для этого надо ехать в офис.
Спасибо за скрипт!
Объясните пожалуйста что он делает кроме того, что удаляет файл. Дело в том, что удалить я могу и сам и делал это неоднократно, но это не лечение. Ну или может только один из шагов.

[V_Bond]

сейчас посмотрю внимательнее ... штука совсем свежая....

[Ven]

Есть подозрения что ядро патченое и эта библиотека находится в файле ядра, поэтому она и появляется после каждого ребута.

[V_Bond]

так скрипт немного подправил пришлите карантин .... согласно приложения 3 правил...

[Ven]

Ваш скрипт выполнил. Лечение произвел руками:
удалил из папки c:\windows\system32 следующие файлы:
wuclt*
ntoskrnl.exe

последний восстановился из кеша ОС и имел меньший размер, чем тот, что я удалил.
Если быть более точным, то я не удалил, а заархивировал под пароль и только потом удалили .EXE.
На форум архив выложить не могу из-за большого размера.
Судя по тому, что файл simp_dll.dll не создается вновь, как ранее - вирус устранен.

[Ven]

Вот два файлика, еще один в след сообщении будет

[Ven]

Не прикрепляет третий....говорит что уже есть такой....видимо, форум глючит на тему прикрепления файлов...ну ладно - не страшно...

[V_Bond]

simp_dll.dll похоже не удалился .... сделайте заново virusinfo_syscheck.zip
если не будет прикрепляться попробуйте удалить старый...