Win32/Spabot.NAC

Подхватил вирус типа троян (откуда не знаю). Постоянно что то качает и отсылает. Установил фаервол, проблемы прекратились. Потом пропал инет (связь ограниченна или отсутсвует). NOD32 постоянно отправляет в карантин новосозданные файлы типа cd****.nls. Скачал утилиту AVZ4, сделал всё как описанно в подобных проблемах. Но zip файл создаётся пустым. При анализе утилитой файлы типа cd****.nls не могут читаться (видимо их использует какое то приложение). При анализе все программы защиты были деактивированны (NOD32 и FireWall). Также, при анализе выдаётся ошибка о том, что остутсвует файл gowoggzuuns.dll (эта библиотека была инфицированна и удалена антивирусом).

выполните правила в безопасном режиме.
и в добавок вот это [url]http://virusinfo.info/showthread.php?t=10387[/url]

Выкладываю файл с протоколом.

У вас живет спам-бот в драйвере ndis.sys.

1. Скачайте утилиту восстановления ndis.sys: [attach]10580[/attach].

2. Загрузитесь в безопасном режиме, запустите скачанную утилиту и нажмите кнопку [B]Patch[/B].

3. Тут же, не выходя из безопасного режима, запустите AVZ и выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\fwdrv.sys','');
QuarantineFile('c:\cd1041.nls','');
DeleteFile('c:\cd????.nls');
DeleteFile('C:\fwdrv.sys');
BC_ImportDeletedList;
BC_DeleteSvc('fwdrv.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

4. После перезагрузки пришлите карантин по правилам и сделайте новые логи.

Хорошо! Как сделаю так сразу.

Всё сделал. Вот логи.

Ах да. У меня при скане обнаружился ещё 1 вирус - BackDoor. К сожалению я с дуру удалил папку сожержащую этот вирус (была заражена программа FlashGet - браузер) и теперь незнаю как он точно называется. Наверное поэтому у меня нет соединения с инетом (у меня ИП адрес с сервака не получает, и некоторые программы серверы не запускались потому что использовался какой-то порт).

1. Похоже, вы не отключили восстановление системы. Сделайте это!
2. Скачайте утилиту WinSockxpFix отсюда: [url]http://www.winsockfix.nl[/url]
3. Запишите все свои сетевые настройки, если есть локальная сеть.
4. Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(true);
DelSPIByFileName('gowoggzuuns.dll',true);
AutoFixSPI;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

5. Если пропадет связь с интернетом, используйте скачанную программу, затем проверьте и при надобности введите заново сетевые настройки.

6. Сделайте новые логи в нормальном режиме.

Действия:
1. Отключил;
2. Скачал утилиту;
3. Сеть имеется, настройки сохранены;
4. Строка DelSPIByFileName('gowoggzuuns.dll',true); не выполняется так как файл "gowoggzuuns.dll" отсутствует (я выполнил скрипт без этой строки);
5. Воспользовался утилитой (см п2.);
6. Анализ проведён.
Результат:
1. Связь с интернетом восстановлена (сижу уже со своей системы);
2. Файлы типа cd****.nls больше не создаются;
3. Выкладываю новые логи.
Осталось только проверится на наличие трояна BackDoor, хотя при анализе он уже не проявлял себя.

Огромное спасибо! Буду вас рекомендовать всем знакомым, так что работы у вас наверно добавиться. Но я всё же посоветую ВСЕМ, перед тем как выходить в сеть (любую) поставить антивирус (с последними базами) и фаервол, ибо как показывает практика без них "и не туды и не сюды". :D

[QUOTE=TyMaH;119849]Действия:
4. Строка DelSPIByFileName('gowoggzuuns.dll',true); не выполняется так как файл "gowoggzuuns.dll" отсутствует (я выполнил скрипт без этой строки);

Огромное спасибо! Буду вас рекомендовать всем знакомым, так что работы у вас наверно добавиться. Но я всё же посоветую ВСЕМ, перед тем как выходить в сеть (любую) поставить антивирус (с последними базами) и фаервол, ибо как показывает практика без них "и не туды и не сюды". :D[/QUOTE]

Не надо править скрипты. Эта строчка не только удаляет файл, но и ставит отметку по чистке реестра.

В Вашем случае помог winsockxpfix, а так бы были недолеченные следы.

[quote=PavelA;119860]Не надо править скрипты. Эта строчка не только удаляет файл, но и ставит отметку по чистке реестра.

В Вашем случае помог winsockxpfix, а так бы были недолеченные следы.[/quote]

На счёт исправления скриптов учту, вручную ничего исправлять не буду, буду только сообщать причину ошибки. В данное время обновил базу NOD32 (до этого небыло возможности из за отсутствия сети) и провожу глубокий анализ системы. Обнаружились остатки вируса спам-бота в папке System Volume Information. Файлы были успешно удалены.

[QUOTE=TyMaH;119864]Обнаружились остатки вируса спам-бота в папке System Volume Information.[/QUOTE]
В правилах написано - отключить восстановление системы.

[quote=pig;119871]В правилах написано - отключить восстановление системы.[/quote]

На момент удаления вируса, восстановление системы было выключено. Полная проверка ничего не выявляла.

То есть, остатки спамбота попали в SVI уже после лечения? Кстати, о том, что "после" уже наступило, никто не говорил... Выключите и не включайте, пока отмашку не дадут.

Похоже, мы победили ;)
На всякий случай пришлите по правилам эти два файла:
[B]C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll
C:\WINDOWS\is-A3D72.exe[/B]

Данные файлы отсутствуют. Провёл глубокий анализ антивирусом NOD32 с последними базами - вирусов и подозрительных объектов обнаружено небыло.

[QUOTE]Данные файлы отсутствуют.[/QUOTE]
Однако судя по логам они оба все-таки существуют.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-A3D72.exe" /REG
[/code]
и выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\is-A3D72.exe','');
QuarantineFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин по правилам.

[quote=Bratez;120102]После перезагрузки пришлите карантин по правилам.[/quote]

Отправил карантин, название файла - 070703_175827_Quarantine_468a56032d67b.ZIP. Также пофиксил указаныне строки (название файла hijackthis.zip), но строка "O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-A3D72.exe" /REG" остутствовала (посмотрите файл hijackthis(full).zip).

Да, is-A3D72.exe и его строчка в логе отсутствуют, видимо это была какая-то незавершенная инсталляция. А вот второй файлик явно не полезный, судя по результату Вирустотал, да и место проживания у него "не как у людей" ;) Так что давайте его удалим:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll');
BC_DeleteFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и последний раз сделайте логи п.10-13 правил.

[quote=Bratez;120121]сделайте логи п.10-13 правил.[/quote]

Выкладываю. При проверке обнаружилась пара подозрительных объектов, но повторная проверка антивирусом ничего не выявила. Надеюсь это действительно последние логи которые я выкладываю :) (файлы помещены в карантин, отправлю вам если потребуется).