Win32:Small-JMK [Trj]

Доброго времени суток!
У нас такая проблема: существует небольшая корпоротивная сетка. На компе админа стоит консоль сетевой версии Avast, на каждой локальной машине стоит агент который управляется с консоли, консоль при обнаружении заразы скидывает на почты сообщение. Недавно у одного из пользователей при загрузке машины появлялись какие то микробы (на почту приходили по 4 сообщения при каждой загрузке компа, и самое интересное локально агент avast вообще не риагировал никак:O) особого значения не придали пересадили систему и все путем:D. Вчера еще два пользователя схатили эту же заразу>:(. Взяв один комп на реанимацию, решил обратится к Вам за помощью. По порядку выполнял Ваши правила, после проверки CureIT количество сообщений уменьшилось до 2 и Avast (локально) стал блокировать эту гадась. Вот последние 2 сообщения: 1. [U][I]avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.[/I][/U]
2. [U][I]avast! [PROIZ1WS]: Файл "E:\Documents and Settings\Subadm.KGI198\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.[/I][/U]
Логи прилагаю, надеюсь на Вашу помощь.

.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\ELBOLCZU\ieupdater[1].exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe','');
DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe');
DeleteFile('E:\WINDOWS\system32\winlagons.exe');
DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\ELBOLCZU\ieupdater[1].exe');
DeleteFile('E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18275[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
[/CODE]

[quote]kgi198.lcl[/quote]
Это ваш домен?

Повторите логи

Карантин закачал ловите!:>

Да это наш домен

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Профиксить не одно строку не могу, причина их просто нет в списке:O. Логи высылать? Кстати все зверье перестало беспокоить:P

E:\WINDOWS\system32\winlagons.exe, E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe, E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe -[b] Trojan-Downloader.Win32.Tiny.aii
[/b]

e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe - [b]Backdoor.Win32.Agent.eom[/b]
E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe - [b] Trojan-Downloader.Win32.Tiny.aii
[/b]

Догадайтесь с одного раза откуда пришла зараза

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

После выполнения последнего скрипта и перезагрузки машины avast локально выловил микробов, на почту пришли следующие сообщения: 1. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
2.avast! [PROIZ1WS]: Файл "E:\Documents and Settings\Subadm.KGI198\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом
3. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\Drivers\vdmwmjc1.sys" инфицирован "Win32:Trojan-gen {Other}" вирусом.
4. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
5. avast! [PROIZ1WS]: Файл "E:\Documents and Settings\Subadm.KGI198\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
После 14.00 все логи сделаю снова и перешлю.

Вот новые логи как и обещал. Посмотрите пожалуйста.

Вы перед выполнением скрипта антивирус выключаете?

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe [/CODE]


[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('e:\windows\system32\drivers\spools.exe');
TerminateProcessByName('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
DeleteFile('e:\windows\system32\drivers\spools.exe');
BC_ImportDeletedList;
BC_DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
BC_DeleteFile('e:\windows\system32\drivers\spools.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Повторить логи с п.10 правил

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

E:\WINDOWS\system32\Drivers\vdmwmjc1.sys - -[b]AVZ-BC Kernel Driver[/b]

E:\WINDOWS\system32\ftpdll.dll - в логах не отражаеться avast гробит

так точно, avast отключаю.ща логи пришлю

Вот логи

Вроде как микробы, больше не беспокоят...пока))))на этой машине. Спасибо огромное! Теперь следующий вопрос: точно с такой же дрянью есть другая юзерская машина. Как быть, сделать тоже самое или создавать новую тему и выкладывать туда новые логи с другой машины?

Зловреда извели.
Если вы Абсолютно уверенны, что зверь один в один то можно попытаться адаптировать скрипты, на на свой старх и риск:)

Я рекомендовал бы создать новую тему с логами:)


P>S> У нас спасибо не пишут, а нажимают;)

Ну значит так и сделаю, только завтра:)

Здравствуйте! Вчера извести зловреда извели, но сегодня повторилось тоже самое. С утречка я вернул излеченый комп пользователю, проверил как загрузился, было все в порядке. Ближе к обеду у пользователя возникли кое какие проблемы, мне пришлось зайти на машину со своими правами, и этот микроб снова активировался. Причем пользователь утверждает что в интернете не был вообще, значит зловред прячится где то на машине. Посмотрите новые логи, может все таки что то получится сделать.

выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
DeleteFile('e:\windows\system32\drivers\spools.exe');
DeleteFile('E:\WINDOWS\system32\ftpdll.dll');
DeleteFile('E:\Documents and Settings\Subadm.KGI198\ftpdll.dll');
DeleteFile('E:\WINDOWS\system32\ftpdll.bak');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Пофиксьте:
[code]O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe[/code]

Рекомендую задуматься о смене антивируса
[url]http://virusinfo.info/showthread.php?t=1550[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\documents and settings\\proiz1.kgi198\\ie_updates3r.exe - [B]Trojan-Downloader.Win32.Tiny.aii[/B] (DrWEB: Trojan.DownLoader.48018)[*] e:\\documents and settings\\proiz1.kgi198\\local settings\\temporary internet files\\content.ie5\\elbolczu\\ieupdater[1].exe - [B]Trojan-Downloader.Win32.Tiny.aii[/B] (DrWEB: Trojan.DownLoader.48018)[*] e:\\documents and settings\\proiz1.kgi198\\local settings\\temporary internet files\\content.ie5\\vvl779ow\\ieupdater[1].exe - [B]Trojan-Downloader.Win32.Tiny.aii[/B] (DrWEB: Trojan.DownLoader.48018)[*] e:\\documents and settings\\proiz1.kgi198\\рабочий стол\\ieupdr2.exe - [B]Trojan-Downloader.Win32.Tiny.aii[/B] (DrWEB: Trojan.DownLoader.48018)[*] e:\\documents and settings\\subadm.kgi198\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.hs[/B] (DrWEB: BackDoor.FireOn)[*] e:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.hs[/B] (DrWEB: BackDoor.FireOn)[*] e:\\windows\\system32\\winlagons.exe - [B]Trojan-Downloader.Win32.Tiny.aii[/B] (DrWEB: Trojan.DownLoader.48018)[/LIST][/LIST]