Proxy.Win32.Dlena.bk

Добрый день!

Меня зовут Александр, я системный администратор компании ООО «Мир Лечебной Косметики». Сегодня два пользователя «поймали вирус», который превращает заражённый компьютер в сервер рассылки спамерских писем. На время проблема решена фаер-волом, но пользователям нужна почта. Касперский 6.0 с обновлённой базой + последний Windows Update нашли вирус, который называется Trojan-Proxy.Win32.Dlena.bk (до Windows Update Касперский его почему-то на видел, хотя активность была). Касперский находит файл rpccd.dll, говорит, что его удалил, но после перезагрузки всё повторяется. Почитав форумы я понял, что данный вирус можно легко удалить с помощью утилиты AVZ, но для неё нужен специальный скрипт, примерно следующего вида:

«
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\mindjet\mindmanager 6\mmreminderservice.exe','');
QuarantineFile('C:\WINDOWS\system32\rpccd.dll','');
RebootWindows(true);
end.
«

Все скрипты, которые я нашёл в Интернете мне не помогли, наверное под мою разновидность вируса «bk» не написали.

Заранее спасибо.

Вложения

1. Под r-admin многое м.б. не видно.
Нужны логи чисто с компьютеров.
2 В AVZ файл -- выполнить скрипт[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe','');
QuarantineFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe ','');
QuarantineFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe ','');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe ');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe ');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Будет перезагрузка. Карантин прислать, согласно правил - см. Приложение 2, начиная с пункта 5. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7573[/url]

2. в HijackThis профиксить
[CODE]
O4 - HKCU\..\Run: [WinUpdate] "C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe "
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe
O4 - HKCU\..\Run: [WinInit] "C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe "
[/CODE]
Перезагрузиться, прислать повторно логи.

Высылаю чистые логи (без РАдмина). Подскажите куда АВЗ кладёт файлы карантина?
Профиксить не удалось, т.к. после выполнения скрипта в АВЗ и повторного сканинга в Hijackthis данные строки исчезли.

[QUOTE=poluboff;91993]Подскажите куда АВЗ кладёт файлы карантина?[/QUOTE]

Внимательно прочитать:
[QUOTE]Карантин прислать, согласно правил - см. Приложение 2, начиная с пункта 5.[/QUOTE]

после выполнекния скрипта, компьютер уходит на перезагрузку.
После перезагрузки открываю АВЗ, делаю Файл-Просмотр карантина и там пусто.
???

Пусто так пусто.
Выполните вот этот скрипт

[CODE]begin
QuarantineFile('snapman.sys','');
QuarantineFile('C:\WINDOWS\system32\WgaLogon.dll','');
QuarantineFile('C:\Program Files\Common Files\dbmmgr32.dll','');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe ');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe ');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe');
ExecuteSysClean;
end.[/CODE]

Содержимое карантина пришлите

[QUOTE=Geser;92046]Пусто так пусто.
Выполните вот этот скрипт

[CODE]begin
QuarantineFile('snapman.sys','');
QuarantineFile('C:\WINDOWS\system32\WgaLogon.dll','');
QuarantineFile('C:\Program Files\Common Files\dbmmgr32.dll','');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773156.exe');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773234.exe');
DeleteFile('C:\DOCUME~1\user023\LOCALS~1\Temp\488773046.exe');
ExecuteSysClean;
end.[/CODE]

Содержимое карантина пришлите[/QUOTE]
Чуть-чуть скорректировал. Почему-то влетает лишний пробел.

Файлик карантина залил:
Файл сохранён как070123_172435_virus_45b61aa3d7908.zipРазмер файла100329MD5e3cb690eeba4ed9ee50bf7a386697b5d
Но скрипт не помог, спам всё равно идёт.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\dbmmgr32.dll');
ExecuteSysClean;
RebootWindows(True);
end.[/code]
Компьютер перезагрузится.
Сделайте новее логи начиная с 10-го пункта Правил.

PS. AVG определил его как IRC/BackDoor.SdBot2.RFX

Высылаю логи.

Скрипт вроде помог. Почему "вроде"? Т.к. уже было такое после одного скрипта, вирус успокоился, а через пару часов опять стал рассылать спам.
Ещё не понятно, почему AVG определил его, как IRC/BackDoor.SdBot2.RFX???
IRC на этом компьютере никогда не стояла.
KAV до выполнения скрипта переодически писал, что нашёл вирус Proxy.Win32.Dlena.bk в файле rpccd.dll.

IRC втихушку ставят сами трояны для оперативной связи со своим хозяином.

Нужен еще один лог АВЗ, который с блокировкой руткитов.

В логе HijackThis не видно работающего Касперского. Хотя в автозапуске он есть и в сервисах тоже.

[QUOTE=poluboff;92441]Высылаю логи.[/QUOTE]
Файл C:\Program Files\Common Files\dbmmgr32.dll удален.
Ничего подозрительного не вижу. Будут жалобы, обращайтесь.

Спасибо!!!
Подскажите, как посмотреть не стоит ли компьютере вражеская IRC?
Когда делался лог, КАВ был выключен его же стандартными средствами, а не через службы.
Можно ли поконкретнее какой ещё лог нужен? который описан в пунке 8???

"вражеская IRC" не видна. BackDoor, видимо, имел ее внутри себя.
Да, имелся ввиду именно лог из 8-го пункта.

Если проблемы исчезли, то лог скорее всего не нужен. Про Касперского понял.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\dbmmgr32.dll - [B]Trojan-Proxy.Win32.Pixoliz.ib[/B] (DrWEB: Trojan.Packed.76)[/LIST][/LIST]