Spamboot

Printable View

03.09.2007, 18:14
ghostil

Spamboot

Здравствуйте!
Вот такая проблема: во время работы в Windows начинается активная рассылка почты через OutlookExpress. Через д-р Вэб проверял, удалял вирусы, но, всё равно, история продолжается!Прогнал с AVZ и, вроде, всё исчезло!Посмотрите, пожалуйста, логи.
03.09.2007, 18:21
PavelA

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Сделать новые логи.
03.09.2007, 18:39
ghostil

спасибо за быстрый ответ, сейчас сделаю

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

карантин я закачал
Минут через 5 будут логи
03.09.2007, 18:46
ghostil

Вот новые логи.
03.09.2007, 18:53
PavelA

Ничего не досталось. Попробуй выполнить скрипт из Safe Mode.
04.09.2007, 20:39
Alex_Goodwin

Trojan-Downloader.Win32.Agent.crz
17.09.2007, 13:49
ghostil

Извините, что пропал на 2 недели, я вот сделал логи ещё раз в обычном режиме, сейчас выполню логи в Safe Mode. Как выполнятся, сразу же вышлю!
17.09.2007, 14:06
PavelA

Не торопись. Выполни скрипт в Safe Mode.
Затем можно сделать и логи.
17.09.2007, 14:13
ghostil

Хорошо, не буду!Я вот только не понял, а какой именно скрипт нужно выполнить в Safe Mode? :-)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А, понял, тот же самый скрипт, который Вы мне писали! Извините, что-то не сообразил! Хорошо, сейчас выполню! :-)
17.09.2007, 15:23
ghostil

Выкладываю логи после выполненного скрипта.
17.09.2007, 15:59
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [MStask] C:\WINDOWS\svchost.exe
[/code]
и пришлите по правилам вот этот файлик:
c:\program files\common files\symantec shared\ccapp.exe
судя по количеству установленных им соединений, похож на оборотня.
17.09.2007, 16:13
ghostil

Строчки пофиксил и файл закачал :-)
17.09.2007, 16:15
PavelA

@Bratez у меня в Симантеке есть такой же файлик.
17.09.2007, 16:23
ghostil

Компьютеру, к сожалению, легче не стало

[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]

:-(
17.09.2007, 16:25
Bratez

Не вижу файла.
@[B]PavelA[/B]: знаю, но посмотри на список портов в логе AVZ...
17.09.2007, 16:30
ghostil

хм, сейчас ещё раз закачаю, может сбой какой был, минутку

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

а сейчас, видите?По идее, должен был закачаться
17.09.2007, 16:44
Bratez

Да, файл пришел, будем посмотреть...

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

На Вирустотал никто не заподозрил, вроде настоящий файл Симантека.
Однако в логе АВЗ видно, что именно он устанавливает огромное кол-во соединений по 25-му порту! Попробуйте хотя бы временно деинсталлировать Симантека. Чтобы не оставаться без защиты, можно установить например триальный КАВ. Заодно и проверочку им сделать не помешает. И сделайте логи, посмотрим дальше.
17.09.2007, 16:46
ghostil

Хорошо, спасибо, сейчас выполню
18.09.2007, 11:02
ghostil

Удалил Symantec, поставил Kaspersky. Нашёл он кучу всяких вирусов, всего даже не перечислить. Вот выкладываю сделанные только что логи. Посмотрите, пожалуйста.:)
18.09.2007, 11:18
PavelA

Если не секрет что нашел касперский и самое главное где.
18.09.2007, 11:26
ghostil

Так, вот, что он нашёл:
Trojan-Spy.Win32.Banker.dvp, путь: c:\found.000\file0012.chk//FSG//#
Собственно говоря, на сегодняшний момент, это всё.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Вот, что он нашёл:
Trojan-Spy.Win32.Banker.dvp
c:\found.000\file0012.chk//FSG//#

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Извините, что повторился - не понял, что уже на второй странице моё сообщение разместилось. :-)
18.09.2007, 11:27
PavelA

c:\found.000 - это после проверки chkdsk. Можно удалять полностью.
Единственное, что опасаюсь Ваши пароли ушли на сторону.
18.09.2007, 11:29
ghostil

Мда, это не очень хорошо... :-( Теперь менять их надо, да?
18.09.2007, 11:34
PavelA

Вот описание этой семейки:

[QUOTE]Banker is a family of spying trojans that try to steal information that is required to access certain on-line banks' and on-line payment systems' websites. Banker trojans usually steal logins, passwords, PINs, check words and other info related to logging to bank websites.

The stolen information is usually uploaded to a hacker's website using a webform. The most vulnerable are users of on-line banks and payment systems that have logins and passwords that do not change every time a user logs on. That is why many banks are now switching to one-time passwords that expire after being used once. [/QUOTE]

Решать Вам. Я бы честно говоря рисковать не стал и сменил.
18.09.2007, 12:03
ghostil

Спасибо огромное за помощь и совет! :-) Очень выручили. И пароли уже поменял.
18.09.2007, 12:06
PavelA

А кнопочку "с ручкой" не нажал? ;)
18.09.2007, 12:41
ghostil

а что это за кнопочка такая, с "ручкой"? :*>
18.09.2007, 12:44
PavelA

"Спасибо" внизу сообщения.
18.09.2007, 12:49
drongo

[B]ghostil[/B],
Насчёт ваших дырок в системе:
[code]
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/code]

Советую всё залатать, чтобы это сделать нужно выполнить следующий скрипт:

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!
18.09.2007, 13:50
ghostil

Все ваши указания выполнил!Спасибо ОГРОМНОЕ!
18.09.2007, 15:05
drongo

[B]ghostil[/B], [quote=PavelA;135653]"Спасибо" внизу сообщения.[/quote]забыл нажать ;(