Система стала спам-зомби

Printable View

25.05.2009, 12:39
Kieran

Вложений: 3

Система стала спам-зомби

Намедни, обратил внимание, что Касперский 2009 (регулярно обновляемый) перестал работать и постоянно идет интернет-трафик, проанализировав активность, стало ясно, что процесс services.exe осуществляет спам-рассылку. Попытки загрузить Касперский вручную ни к чему не привели, программы avz, HiJackThis, Process Explorer с исходными именами тоже не запускались. Поставив AVG Free и просканировав систему, ничего подозрительного не было обнаружено. Так же в системе появилось 3 "левых" устройства.

Помогите, пожалуйста, избавиться от этого паразита…
25.05.2009, 13:27
PavelA

Отключить оба а/вируса!!!
Скачать IceSword. В нем найти C:\WINDOWS\System32\drivers\47c20f41.sys и удалить его, предварительно скопировав его куду-нибудь с другим именем.

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.00\Exceed\Tbedit.exe','');
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\47c20f41.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\47c20f41.sys');
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46481[/url]
25.05.2009, 18:07
Kieran

Вложений: 3

Все сделал – паразитный SMTP трафик прекратился, все программы запускаются нормально, остались только посторонние устройства, но я их деактивировал и они не мешают.
Большое спасибо за помощь! :)
25.05.2009, 19:09
PavelA

Не так тут все хорошо. :(
1. Скачать Icesword. В нем искать C:\WINDOWS\system32\drivers\smwdm.sys,
C:\WINDOWS\System32\drivers\47c20f41.sys. если найдутся скопировать
на раб.стол с другим именем и прислать через карантин AVZ
2. regedit запускается?
26.05.2009, 10:43
Kieran

1 - Поискал файлы, теперь они отсутствуют
2 - Regedit запускается, функционирует нормально
26.05.2009, 10:46
Kuzz

[QUOTE=PavelA;406717]Отключить оба а/вируса!!!
Скачать IceSword. В нем найти C:\WINDOWS\System32\drivers\47c20f41.sys и удалить его, предварительно скопировав его куду-нибудь с другим именем.
[/QUOTE]

После выполнения этого пункта должен остаться переименованый файл 47c20f41.sys
Его тоже нужно прислать по правилам.
26.05.2009, 11:45
Kieran

Прислал файл отдельно.
Посчитал что не было необходимости, т.к. он был в карантине, не нулевого размера, после выполнения скрипта в AVZ и был выслан вместе с остальными файлами.:pardon:
27.05.2009, 09:52
PavelA

47.c20 - Backdoor.Win32.NewRest.z вот так этот зверь зовется. Да и кстати в первом карантине его не было.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

BITS,wuauserv - эти службы подкорректировать в редакторе реестра.
Как и что сделать читать [url]http://virusinfo.info/showthread.php?t=43700[/url]
27.05.2009, 15:25
Kieran

Про файл - sorry, просто он висел в списке карантинных файлов AVZ, с правильным размером :O
Параметры запуска служб подправил, действительно вирус и там поработал:)

P.S Еще спасибо за быстую и квалифицированную помощь!:clapping:
28.05.2009, 15:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\47.c20 - [B]Backdoor.Win32.NewRest.z[/B] ( BitDefender: Gen:Rootkit.Heur.5003FCBCBC )[/LIST][/LIST]