Printable View
На компутере клиента завелся вирус (спамбот) который шлет спам с компутера.
Виден при помощи netstat -b как simp_dll.dll шлющий почту на кучу серверов, при этом почтовая программа (Outlook, не Express), разумеется, не запущена.
Ни симантек, ни нод его не лечат: симантек не видет, нод вроде как его засекает и помещает в карантин, но после перезагрузки, все сначала. Восстановление системы отключено.
CureIt обзывает его trojan.spambot.2381 - но тоже не помогает.
1. Следует выполнить скрипт AVZ (Файл/выполнить скрипт):
[code]
begin
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
В ходе выполнения скрипта компьютер перезагрузится.
2. После перезагрузки пришлите попавшие в карантин файлы согласно правилам и сделайте заново логи - посмотрим, убился зловред или нет
Выполнил указанные действия, файлы пришлю через несколько минут.
Заметил следующий момент - если включать компьютер с подключенным сетевым кабелем, то он выдает ошибку инициализации DCOM сервера, и через минуту идет перегружаться, если с отключенным кабелем, с последующим подключением - все в порядке (в смысле не хочет перезагружаться)
[size="1"][color="#666686"][B]Добавлено через 15 минут[/B][/color][/size]
Файл svshost.exe - отсутсвует - видимо был удаен антивирусом ранее.
Логи - чуть позже.
Теперь хочет перегружаться и при подключении к сети и после загрузки с отключенным кабелем :-(
После перезагрузки simp_dll.dll - на месте :-(
[QUOTE='glit;124276']После перезагрузки simp_dll.dll - на месте :-([/QUOTE]
Это явный зловред, Trojan-Proxy.Win32.Pixoliz.a. Значит так, потребуется еще файл ntoskrnl.exe. Он здоровый, но придется его прислать - возможно, он патченный. Закарантинить его можно скриптом:
[code]
begin
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
end.
[/code]
Второй момент - Firewall какой-то есть ? Хотя бы встроенный для начала стоит включить.
PS: Если это та модификация Trojan-Proxy.Win32.Pixoliz, которую я недавно изучал, то ntoskrnl.exe после отправки можно смело менять на "эталонный" ntoskrnl.exe из дистрибутива.
[quote=Зайцев Олег;124289]Это явный зловред, Trojan-Proxy.Win32.Pixoliz.a. Значит так, потребуется еще файл ntoskrnl.exe. Он здоровый, но придется его прислать - возможно, он патченный. Закарантинить его можно скриптом:
[code]
begin
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
end.
[/code]Второй момент - Firewall какой-то есть ? Хотя бы встроенный для начала стоит включить.
PS: Если это та модификация Trojan-Proxy.Win32.Pixoliz, которую я недавно изучал, то ntoskrnl.exe после отправки можно смело менять на "эталонный" ntoskrnl.exe из дистрибутива.[/quote]
ntoskrnl.exe выслал.
Фаервол - хм - действительно был вырублен....
Логи после скрипта
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\qqd.sys','');
QuarantineFile('C:\qqd.sys','');
DeleteFile('\??\C:\qqd.sys');
DeleteFile('C:\qqd.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11248[/url]
[QUOTE=glit;124297]Логи после скрипта[/QUOTE]
Файл ntoskrnl.exe пришел - он патченный, ему в хвост приписан simp_dll.dll + троянский код для его создания. Далее есть два пути:
1. Восстановить ntoskrnl.exe из дистрибутива, после чего прогнать скрипт из поста 2 и после перезагрузки сделать логи
2. Если нет возможности найти ntoskrnl.exe в дистрибутиве, то я могу вернуть присланный файл, из которого удален вредоносный код
3. Можно применить KAV любой версии, он умеет лечить ntoskrnl.exe и достаточно корректно удалять из него вредоносный код
[quote=Зайцев Олег;124305]Файл ntoskrnl.exe пришел - он патченный, ему в хвост приписан simp_dll.dll + троянский код для его создания. Далее есть два пути:
1. Восстановить ntoskrnl.exe из дистрибутива, после чего прогнать скрипт из поста 2 и после перезагрузки сделать логи
2. Если нет возможности найти ntoskrnl.exe в дистрибутиве, то я могу вернуть присланный файл, из которого удален вредоносный код
3. Можно применить KAV любой версии, он умеет лечить ntoskrnl.exe и достаточно корректно удалять из него вредоносный код[/quote]
qqd.sys присылать?
а как же,конечно прислать :) и после рекомендаций Олега Зайцева сделать новые логи.
ваш патченный [B]ntoskrnl.exe[/B] носит название - [B]Virus.Win32.Sosisko.a[/B]
[quote=Muzzle;124311]а как же,конечно прислать :) и после рекомендаций Олега Зайцева сделать новые логи.[/quote]
qqd.sys не пришлю - файлы 0-вые
Выполните рекомендации Олега Зайцева из поста #8 и повторите логи.
Название прикольное.
Похоже помогло.
Спасибо большое
[QUOTE=glit;124325]Название прикольное.
Похоже помогло.
Спасибо большое[/QUOTE]
Да, судя по логам зловреду каюк ...