Непонятный файл svho.exe

Printable View

26.12.2007, 14:16
DJRelax

Непонятный файл svho.exe

Вообщем ситуация такая. Сегодня стал блокироватся весь трафик http и почты. Вычислил из-за чего, оказалось виноват файл [B][B][B]svho.exe[/B][/B][/B] в системной папке винды ХП2. Он мало того блокировал трафик, так еще и прослушивал фтп порты:
[URL="http://radikal.ru/F/i004.radikal.ru/0712/35/3f137cf2bc24.jpg.html"][IMG]http://i004.radikal.ru/0712/35/3f137cf2bc24t.jpg[/IMG][/URL]

Если файл переместить в другой каталог, то при запуске он сам себя перемещает в системную папку.
Высылать файл на анализ или кто нить знает что это такое. Да и еще ни NOD32, ни Касперский, ни AVZ на него ничего не сказали. У всех базы новые.

Да и еще он сам себя в автозагрузку ставит. В автозагрузке он себя обзывает "System Service Manager Device". Еще он сам себя сделал скрытым файлом и поставил атрибут "Только для чтения". Вот ведь гад какой. :)
26.12.2007, 14:20
SuperBrat

Выполните правила, вам помогут:
[url]http://virusinfo.info/showthread.php?t=1235[/url]
26.12.2007, 14:23
DJRelax

Мне помощь не нужна, я от него избавился. Я предлогаю файл для анализа. За точто картинку опубликовал в сообщение, сорри, просто окно добавления файлов к сообщению у меня не открывалось, как оказалось из-за этого файлика.
26.12.2007, 14:30
SuperBrat

Тогда можно сюда:
[url]http://z-oleg.com/secur/avz/uploadvir.php[/url]
Но правила лучше выполнить, зараза по одиночке не ходит. И вам спокойней будет.
27.12.2007, 13:02
DJRelax

Вложений: 3

Еще что удалось выяснить: На компе который заразился так же появился файлик в автозагрузке "msmsgrs.exe" который находился в папке винды и видимо он и был начальным файлом. Так как если даже удалить "[B]svho.exe"[/B] то все равно после перезагрузки он появляется и стартует и еще к тому же создает в корне загрузочного диска файлы вида: "00000a.exe", "0000a.exe", это его копии переименнованые. И пока не удалить файл "msmsgrs.exe", то все это будет повторятся.
Прикрепил логи. Правда в них ничего существенного, так три антивируса(включая AVZ) ничего не нашли. Файл карантина AVZ пустой. Если потребуется могу и файл "msmsgrs.exe" выложить/отправить.
27.12.2007, 13:21
AndreyKa

msmsgrs.exe пришлите также как отсылали svho.exe
А логи надо было делать после того как эти файлы удалили.

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
[/quote]
27.12.2007, 13:29
DJRelax

Файл выслал. Я так понял логи уже на чистой системе надо было делать?
27.12.2007, 14:16
V_Bond

msmsgrs.exe IM-Worm.Win32.Agent.aw
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\msmsgrs.exe');
DeleteFile('c:\windows\system32\svho.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
22.02.2009, 03:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\-=work=-\\анализ файлов\\svho\\msmsgrs.exe - [B]IM-Worm.Win32.Agent.aw[/B] (DrWEB: BackDoor.IRC.Sdbot.2236)[*] \\svho.exe - [B]Backdoor.Win32.Rbot.gcg[/B] (DrWEB: BackDoor.IRC.Rxbot)[/LIST][/LIST]