svhost.exe,ftpdll.dll и другое зверье

Printable View

16.02.2008, 21:18
luk

Вложений: 3

svhost.exe,ftpdll.dll и другое зверье

Просканировал NOD-ом, нашел какие-то левые exe-ки типа
1345465.exe и другие. Появилась новая служба WWWProvider и в процессах висят непонятные exe. Логи прилагаю.
16.02.2008, 21:31
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe','');
SetServiceStart('Schedule', 4);
DeleteService('Schedule');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\system32\bim\svchost.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\windows\system32\bim\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
16.02.2008, 21:45
luk

Пока отослал карантин...
16.02.2008, 21:49
rubin

[b]Backdoor.Win32.Agent.eom[/b] C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe
[b]Backdoor.Win32.Agent.eom[/b] C:\WINDOWS\system32\drivers\spools.exe
c:\windows\system32\bim\svchost.exe - cвежий
C:\WINDOWS\system32\sysfldr.dll - тоже
16.02.2008, 22:33
luk

Вложений: 2

Повторные логи
16.02.2008, 22:41
rubin

virusinfo_cure из поста уберите, логи сейчас гляну

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr');
QuarantineFile('C:\Documents and Settings\Дима2\ftpdll.dll','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Пришлите новый карантин
16.02.2008, 23:01
akok

Карантин необходимо присылать по ссылке сверху..:)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Отсюда удалите...
16.02.2008, 23:02
luk

Высылаю новый карантин. Чего-то не выходит удалить вложение. Извиняюсь, если что-то не так.
16.02.2008, 23:02
rubin

ftpdll.dll в карантин не дался...
Сервис - Поиск файлов на диске
Поищите и закарантиньте вручную. Потом пришлите
16.02.2008, 23:10
luk

Файл находит, помещаю в карантин, но размер по-прежнему равен 0 байт. Может стоит его удалить?
Или в безопасном режиме попробовать поместить его в карантин?
16.02.2008, 23:29
V_Bond

попробуйте его просто заархивировать с паролем virus и прислать ....
16.02.2008, 23:38
luk

Архивации поддался только в безопасном режиме. А так писал, что отказано в доступе. Файл отослал.

Сорри - пароль на архив virus, только в русской раскладке... (мшкгы)
16.02.2008, 23:42
V_Bond

пароль какой ?
17.02.2008, 00:09
wise-wistful

Присланный вами файл ftpdll.dll - [b]Trojan-Downloader.Win32.Small.hwc[/b]
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
BC_ImportAll;
BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
BC_DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
17.02.2008, 20:31
luk

[QUOTE]Выполните в АВЗ

Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll',''); DeleteFile('C:\WINDOWS\system32\ftpdll.dll',''); BC_ImportAll; BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');BC_DeleteFile('C:\WINDOWS\system32\ftpdll.dll');BC_Activate; ExecuteSysClean; RebootWindows(true);end.
[/QUOTE]
Пишет, что ошибка в позиции 4:12
17.02.2008, 20:33
akok

Поправил выполняйте:)

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
BC_ImportAll;
BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
BC_DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
22.02.2009, 03:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\дима2\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.hs[/B] (DrWEB: BackDoor.FireOn)[*] c:\\windows\\system32\\bim\\svchost.exe - [B]Trojan-Downloader.Win32.Agent.jeq[/B] (DrWEB: Trojan.DownLoader.49495)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.hs[/B] (DrWEB: BackDoor.FireOn)[*] c:\\windows\\system32\\sysfldr.dll - [B]Trojan-Downloader.Win32.Small.ilt[/B] (DrWEB: Trojan.DownLoader.38518)[/LIST][/LIST]