Printable View
Судя по логам фаервола на шлюзе с моего компьютера рассылается спам (письма по smtp протоколу). Рассылка ведётся только когда мой компьютер работает (так что источник точно я).
Outpost Firewall не показывает чтобы какойто процесс проявлял сетевую активность. Соответственно есть подозрение, что это низкоуровневый вирус.
Помогите, пожалуйста!
Давайте, так попробуем: на время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт- выполните следующий скрипт: [code]
Begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\AutoLogin\AutoLogin.exe','');
QuarantineFile('C:\WINDOWS\AUTOLO~1\AL2DLL.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\FG.SYS','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Bvc54.sys','');
QuarantineFile('Bvc54.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\sird15.sys','');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
BC_DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]Система будет перезагружена, после перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=24009[/url] , как написано в прил.3 правил.
Карантин выслал.
После перезагрузки спам всё ещё рассылается...
C:\WINDOWS\system32\drivers\Bvc54.sys - Rootkit.Win32.Agent.aih
Странно... В пойманном состоянии Касперский его детектит. Какая версия антивируса Касперского у вас?
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]Begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\Bvc54.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Bvc54.sys');
BC_DeleteSVC('Bvc54');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки, повторите логи, начиная с п. 10 правил.
Стоит Касперский 6.0.2.614 + последнии обновления сигнатур.
Дело в том, что раньше в папке C:\WINDOWS\system32\drivers\ был другой файл .sys, который был Rootkit.Win32.Agent.aih. Я его удалил, после того как Касперский ругнулся на него. А потом появился Bvc54.sys.
В данный момент рассылка спама прекратилась...
Попробую, для пущей уверенности ещё раз перезагрузить машину.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
QuarantineFile('C:\WINDOWS\system32\SiPlugins.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\sird15.sys','');
DeleteFile('C:\WINDOWS\system32\SiPlugins.dll');
DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
В дополнение:
C:\WINDOWS\AutoLogin\AutoLogin.exe - определили, как [b]Trojan-Spy.Win32.Delf.clq[/b] Поэтому, в дополнение, еще скрипт: [code]Begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\AutoLogin\AutoLogin.exe');
BC_DeleteFile('C:\WINDOWS\AutoLogin\AutoLogin.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\autologin\\autologin.exe - [B]Trojan-Spy.Win32.Delf.clq[/B][*] c:\\windows\\system32\\drivers\\bvc54.sys - [B]Rootkit.Win32.Agent.aih[/B] (DrWEB: Trojan.Sentinel)[/LIST][/LIST]