Вирус почтовой рассылки

Printable View

06.06.2010, 15:31
Deeman

Вирус почтовой рассылки

С чужой флешки на бук подцепил вирус(ы). Определить их смог только Симантек.
W32.Pilleuz
Bloodhound.W32.EP
Однако вылечить не может. Один из них шлет спам в интернет по 25-му порту.

Вот логи. Надеюсь на помощь.
06.06.2010, 17:16
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\SYMREDRV.SYS','');
QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP235\A0031144.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031120.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031070.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP232\A0031009.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030935.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030896.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030870.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030870.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030896.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030935.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP232\A0031009.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031070.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031120.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP235\A0031144.exe:userini.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
06.06.2010, 17:43
Deeman

Карантин загрузил.
06.06.2010, 17:51
ARMA9000

Логи авз старые прикрепили.
06.06.2010, 17:54
Deeman

вроде новые
по времени создания видно
06.06.2010, 17:55
Deeman

вот
06.06.2010, 18:04
ARMA9000

Надо обновить IE8(даже если им не пользуетесь).
Жалобы имеются?
06.06.2010, 18:18
Deeman

не пользуюсь.
сейчас проверю, есть ли спам рассылки...

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

после повторной проверки создан еще файл virusinfo_cure.zip
это нормально?
06.06.2010, 18:23
ARMA9000

[QUOTE]*Обратите внимание! Если в результате работы скрипта будут обнаружены подозрительные файлы, они будут сохранены в архиве virusinfo_cure.zip. Этот архив необходимо отличать от архива с протоколом исследования системы virusinfo_syscure.zip и загружать на форум только в том случае, если вас об этом попросили.[/QUOTE]
Этот архив должен был быть еще при первых логах.
06.06.2010, 18:37
Deeman

судя по времени создания, создан во второй раз, при повторном прогоне программы

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

только что прогнал еще раз
вновь на чисто месте создан файл virusinfo_cure.zip
как я понимаю это карантин?
06.06.2010, 18:39
ARMA9000

[QUOTE='Deeman;650481']как я понимаю это карантин? [/QUOTE]
Да, правильно понимаете.
Логи с последнего сканирования прикрепите, посмотрим, что у вас там...
06.06.2010, 18:47
Deeman

вот свежие логи
могу прислать карантин
06.06.2010, 18:58
ARMA9000

Плохого не видно.
Если Вас беспокоит этот карантин, то загрузите его по красной ссылке.
06.06.2010, 19:03
Deeman

закачал. если что - сообщайте
06.06.2010, 19:13
ARMA9000

Все что нужно в карантин попало. В логах чисто. Рекомендацию из поста #7 все рекомендую сделать.
Жалобы есть?
06.06.2010, 19:27
Deeman

Вирусной активности не наблюдается!
Спасибо!
07.06.2010, 19:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp231\a0030870.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp231\a0030896.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp231\a0030935.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp232\a0031009.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp233\a0031070.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp233\a0031120.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp235\a0031144.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[*] c:\windows\system32\userini.exe - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )[/LIST][/LIST]