Схватил services.exe с китайского сайта

Printable View

01.03.2009, 11:17
player1

Вложений: 3

Схватил services.exe с китайского сайта

Искал в интернете конкурсы на 8 марта, в один прекрасный момент получил редирект на домен .cn, после чего началось веселье.
Аутпост заорал, что services.exe хочет загрузить какой-то драйвет и отправить почту на несколько адресов.

На диске появились:
C:\WINDOWS\services.exe 22529 байт
C:\WINDOWS\_id.dat (сейчас, после запуска скриптов AVZ, нулевого размера)
C:\WINDOWS\adobe.bat с содержанием
--- ---
[CODE]:u1w5z
net stop beep
START /WAIT C:\WINDOWS\services.exe /do_work
ECHO %ERRORLEVEL%
IF %ERRORLEVEL% NEQ 3 GOTO u1w5z
EXIT[/CODE]
--- ---

Ссылки на C:\WINDOWS\services.exe появились в автозагрузочных ключах реестра (практически во всех возможных, их я отключил программой autoruns еще до лечения, т.к. сильно мешались - постоянно срабатывала защита Аутпоста).

Вроде бы все прозрачно, и достаточно удалить C:\WINDOWS\services.exe + почистить реестр, но может я что-то еще упустил?

Архивы с логами прилагаю.

Спасибо.
01.03.2009, 11:53
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteService('RkHit');
QuarantineFile('C:\WINDOWS\system32\drivers\RKHit.sys','');
QuarantineFile('C:\Temp\sfamcc00001.dll','');
DeleteFile('C:\Temp\sfamcc00001.dll');
DeleteFile('C:\Temp\sfareca00001.dll');
DeleteFile('C:\WINDOWS\system32\drivers\RKHit.sys');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
01.03.2009, 12:33
player1

Вложений: 3

Карантин загрузил.

Логи прилагаю.
01.03.2009, 12:48
V_Bond

отключите восстановление системы....
virusinfo_syscure.zip переделайте в нормальном режиме как и положено ...
01.03.2009, 13:02
player1

Вложений: 1

Отключил, переделал.

PS: восстановление системы отключал раньше, наверное его включает обратно какой-то апдейт windows.
01.03.2009, 15:00
Гриша

Ничего плохого...
01.03.2009, 18:20
player1

Спасибо!
02.03.2009, 18:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\services.exe - [B]Backdoor.Win32.Zdoogu.t[/B][/LIST][/LIST]