Рассылка спама

[gss1234]

Очередной компьютер в сети подцепил заразу. Антивирус не помогает.
Опять обращаюсь к Вам за помощью.

Идёт рассылка спама на 25 порт.

Syscure проверил, но в safe mode, т.к. в нормальном режиме при проверке комп. перезагружается.
AVZ скрипт №3 так же выполнил в safe mode, по той же причине.

Помогите вылечить, Спасибо.

[PavelA]

Отключить антивирус. Выполнить скрипт в Safe Mode:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 Clearhostsfile;
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
 QuarantineFile('Sku44.sys','');
 BC_DeleteFile('\SystemRoot\System32\drivers\Sku44.sys');
 BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
 BC_DeleteFile('C:\WINDOWS\System32\ntos.exe');
 BC_DeleteSvc('protect');
 BC_DeleteSvc('Sku44');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки загрузить карантин через ссылку вверху.

Сделать новый комплект логов.

[gss1234]

Выполнил высылаю новые логи.

[drongo]

вот чему я удивляюсь, что вы не учитесь на прошлых ошибках. Опять комп оставили под админом , а нужно под ограниченным пользователем- тогда часть зловредов просто не смогут установиться.
Логи сделать в нормальном режиме.

[gss1234]

В нормальном режиме, при выполнении скрипта №3 в AVZ, опять перезагружается.

[drongo]

Тогда так :
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
1.

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\System32\driveres\nwfilter.sys','');
 QuarantineFile('C:\WINDOWS\tsitra801.exe','');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\tsitra801.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13106

3. В безопасном режиме выполнить вот это: http://virusinfo.info/showthread.php?t=10387

[gss1234]

Спасибо, всё сделал. Спам прекратился. Высылаю логи.

[Bratez]

Больше ничего подозрительного в логах нет.
Только пофиксите строчку в HijackThis:

Код:

O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

Вот что у вас плохо:

Код:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Необходимо установить SP2 + последующие обновления, и чем скорее тем лучше (потребуется повторная активация Windows). Затем отключить потенциально опасные вещи, за исключением реально используемых:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[gss1234]

Теперь с другого компьютера полетело. Cureit, что-то находит, удаляет, но легче от этого не становится. Опять нужна помощь.

[Bratez]

Для другого компьютера полагается новую тему открывать.
Ну да ладно, модераторы передвинут.
А пока выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
 QuarantineFile('C:\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('c:\windows\temp\hd3.tmp','');
 DeleteFile('c:\windows\temp\hd3.tmp');
 DeleteFile('C:\Temp\winlogon.exe');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[gss1234]

Карантин выслал

[Bratez]

Ого - аж 7,5Mb! Если не сложно, пришлите отдельно эти файлы:
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\ntoskrnl.exe

[gss1234]

Пришлось забирать файлы в безопасном режиме.

Добавлено через 9 минут

Всё равно рассылка продолжается.

[Bratez]

Оба файла патченные: Trojan.Win32.Patched.au
Варианты действий:
1. Заменить файлы чистыми из дистрибутива.
2. Установить антивирус Касперского - он это добро лечить умеет.

Добавлено через 44 секунды

После этого сделайте новые логи.

[gss1234]

Высылаю логи

[Bratez]

Хорошо. Я в таких случаях обычно говорю: кроме Symantec'a ничего вредоносного в логах не видно Надеюсь, проблем больше нет? Для профилактики неплохо бы устранить потенциальные уязвимости:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Скажите, что нужно / не нужно - сделаем скрипт для поправки.

[gss1234]

Большое спасибо. Рассылка прекратилась. А чем Вам не по душе Symantec?

[Bratez]

А чем Вам не по душе Symantec?

Ну как вам сказать... Где он был например, когда все это к вам пролезло? Зловреды-то уже давно знакомые. И таких примеров - много. Отсюда и сомнения (мягко говоря) в эффективности.

[gss1234]

Kaspersky Total Space Security на 60 комп. 4400 + 2861 * 60 = ~ 171 000 руб. А на след. год опять 2861 * 60 ?

А во втором офисе ещё 30 компов.

В итоге, Symantec дешевле, и судя по рейтингам идёт наравне с Kaspersky.

Кстати и Nod32 и DrWeb и Symantec, что-то находили, частично удаляли, но ничего не помогало. Kaspersky не пробовал, ничего сказать не могу.

[Bratez]

Как вариант:
KAV 7.0 на 60 пк = 12 лицензий по 5 пк = 12 * 3200 = 38400 руб.