Новый сетевой троян.

Printable View

30.03.2010, 18:59
MrShiva

Вложений: 3

Новый сетевой троян.

Привет всем!
Возникла огромная проблема с сетевым вирусом. Ни один антивирус его не определяет, Cureit. Уже не знаю, что делать, заражена вся сеть.
Вирус копирует файл [B]svchost.exe[/B] в
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
Затем антивирус мой его благополучно убивает и комп выключается. И так каждый раз на всех компах сети (40 штук). ОС стоят и Win2003 и XP.

Пока решил проблему включением брандмауера на всех сетевых ПК - компы перестали перегружаться, юзеры работают, но вирусня виситна ПК и серваках.

Если удаляю с автозагрузки - то файлы снова создаются. Но и в добавок сменились обои рабочего стола, файл b.bmp, изображение взрыва на весь экран.

Прошу Вас помочь, почему то АВЗ не скопировал [B]svchost.exe, если надо могу его дополнительно прислать с [/B]b.bmp, отдельно в архивчике.
30.03.2010, 21:00
PavelA

Отключиться от сети и выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ADMINI~1.ULC\LOCALS~1\Temp\2\esihdrv.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\svchost.exe','');
DeleteFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
31.03.2010, 08:47
MrShiva

Выполнил скрипт, вроде даже из автозагрузки ушёл этот файлик, надолго ли только ...
Файлик приложил
31.03.2010, 09:24
PavelA

Карантин загрузите через красную ссылку вверху темы. Отсюда удалите.
31.03.2010, 10:58
MrShiva

Загрузил файл через ссылку вверху тему, отсюда удалил. Спасибо заранее.
31.03.2010, 11:26
PavelA

Файл ушел в обработку в ЛК.
01.04.2010, 17:59
MrShiva

Павел, а ответа ещё нет? Спасибо.
Вирь даже Аутпост обходит :( уже не знаю, чем лечиться...
01.04.2010, 18:26
thyrex

[QUOTE='MrShiva;614243']а ответа ещё нет?[/QUOTE]
новый зловред - [B]Backdoor.Win32.Delf.twd[/B]

Новые логи сделайте
01.04.2010, 18:57
MrShiva

Какие именно логи?
Я думаю, что они не изменятся.
Сейчас наблюдаю, что на прокси-сервер запущено всегда 2 свцхоста (вирусных).
Посмотрел их сетевую активность - создают левые порты для прослушивания и совершения подключений к новым жертвам.
01.04.2010, 19:01
thyrex

[QUOTE='MrShiva;614276']Какие именно логи?[/QUOTE]Выполните правила еще раз
02.04.2010, 09:24
PavelA

Какие именно логи?
Я думаю, что они не изменятся.
---
Я файлик удалял, так что логи должны были измениться.
06.04.2010, 09:42
MrShiva

Вообщем, нашли временное решение, забрали все права на этот файлик свцхост, вирус не запускается, вроде всё норм.

Просто я сейчас даже боюсь его снова авз проходить - серваки должны всё время работать, понимаете.
10.04.2010, 01:15
AndreyKa

Странно, что это: [B]Windows 2003 SP1[/B] ещё работает.
11.04.2010, 01:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\start menu\programs\startup\svchost.exe - [B]Backdoor.Win32.Delf.twd[/B] ( BitDefender: Gen:Trojan.Heur.ZG0@t5wH94fcb, AVAST4: Win32:Malware-gen )[/LIST][/LIST]