новый (?) вирус, рассылающий рекламу, KAV пока не ловит.

у нас с содедями сеть и интернет через adsl. Доступ _тупо_ через шлюз, и однажды я заметил, что
соседский комп генерирует исходящий трафик на весь канал (128к), хотя девочка сидела только в аське...
можете себе представить сколько мб утелко в сеть....

поскольку средствами adsl модема не удалось ничего выяснить пришлось поставить commview, сменить
мой ip на ip шлюза и узреть тысячи попыток подцепиться к различным smtp серверам и отправку вот
например такого

Пакет #870, Направление: Вход., Время: 23:33:12,993922, Размер: 590
Ethernet II
Destination MAC: 00:10:4B:2E:44:BA
Source MAC: 00:14:85:8D:62:32
Ethertype: 0x0800 (2048) - IP
IP
IP version: 0x04 (4)
Header length: 0x05 (5) - 20 bytes
Differentiated Services Field: 0x00 (0)
Differentiated Services Code Point: 000000 - Default
ECN-ECT: 0
ECN-CE: 0
Total length: 0x0240 (576)
ID: 0xD416 (54294)
Flags
Don't fragment bit: 0 - May fragment
More fragments bit: 0 - Last fragment
Fragment offset: 0x0000 (0)
Time to live: 0x80 (128)
Protocol: 0x06 (6) - TCP
Checksum: 0xDD74 (56692) - correct
Source IP: 192.168.1.27
Destination IP: 194.103.3.2
IP Options: None
TCP
Source port: 53164
Destination port: 25
Sequence: 0x01B0ED32 (28372274)
Acknowledgement: 0x5303BFAB (1392754603)
Header length: 0x05 (5) - 20 bytes
Flags: ACK
URG: 0
ACK: 1
PSH: 0
RST: 0
SYN: 0
FIN: 0
Window: 0x5DC0 (24000)
Checksum: 0x5229 (21033) - correct
Urgent Pointer: 0x0000 (0)
TCP Options: None
SMTP
Data
Microsoft MimeOLE V6.00.3790.2757

This is a multi-part message in MIME format.

------=_NextPart_000_0002_01C802CF.015717BF
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

VIAGRA CIALIS =20
Sex can be one of the most enjoyable =
parts of your life. It may strengthen your relationship with your =
partner.
If a relaxing moment turns into the =
right moment, will y
Данные:
0x0000 00 10 4B 2E 44 BA 00 14-85 8D 62 32 08 00 45 00 ..K.Dє..:_b2..E.
0x0010 02 40 D4 16 00 00 80 06-DD 74 C0 A8 01 1B C2 67 .@Ф..._.ЭtАЁ..Вg
0x0020 03 02 CF AC 00 19 01 B0-ED 32 53 03 BF AB 50 10 ..П┐...°н2S.ї<P.
0x0030 5D C0 52 29 00 00 4D 69-63 72 6F 73 6F 66 74 20 ]АR)..Microsoft
0x0040 4D 69 6D 65 4F 4C 45 20-56 36 2E 30 30 2E 33 37 MimeOLE V6.00.37
0x0050 39 30 2E 32 37 35 37 0D-0A 0D 0A 54 68 69 73 20 90.2757....This
0x0060 69 73 20 61 20 6D 75 6C-74 69 2D 70 61 72 74 20 is a multi-part
0x0070 6D 65 73 73 61 67 65 20-69 6E 20 4D 49 4D 45 20 message in MIME
0x0080 66 6F 72 6D 61 74 2E 0D-0A 0D 0A 2D 2D 2D 2D 2D format.....-----
0x0090 2D 3D 5F 4E 65 78 74 50-61 72 74 5F 30 30 30 5F -=_NextPart_000_
0x00A0 30 30 30 32 5F 30 31 43-38 30 32 43 46 2E 30 31 0002_01C802CF.01
0x00B0 35 37 31 37 42 46 0D 0A-43 6F 6E 74 65 6E 74 2D 5717BF..Content-
0x00C0 54 79 70 65 3A 20 74 65-78 74 2F 70 6C 61 69 6E Type: text/plain
0x00D0 3B 0D 0A 09 63 68 61 72-73 65 74 3D 22 69 73 6F ;...charset="iso
0x00E0 2D 38 38 35 39 2D 31 22-0D 0A 43 6F 6E 74 65 6E -8859-1"..Conten
0x00F0 74 2D 54 72 61 6E 73 66-65 72 2D 45 6E 63 6F 64 t-Transfer-Encod
0x0100 69 6E 67 3A 20 71 75 6F-74 65 64 2D 70 72 69 6E ing: quoted-prin
0x0110 74 61 62 6C 65 0D 0A 0D-0A 20 20 20 20 20 20 20 table....
0x0120 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
0x0130 20 56 49 41 47 52 41 20-20 20 20 20 20 20 20 20 VIAGRA
0x0140 20 20 20 20 43 49 41 4C-49 53 20 20 20 20 20 20 CIALIS
0x0150 20 20 3D 32 30 0D 0A 20-20 20 20 20 20 20 20 20 =20..
0x0160 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
0x0170 20 20 20 20 20 20 20 53-65 78 20 63 61 6E 20 62 Sex can b
0x0180 65 20 6F 6E 65 20 6F 66-20 74 68 65 20 6D 6F 73 e one of the mos
0x0190 74 20 65 6E 6A 6F 79 61-62 6C 65 20 3D 0D 0A 70 t enjoyable =..p
0x01A0 61 72 74 73 20 6F 66 20-79 6F 75 72 20 6C 69 66 arts of your lif
0x01B0 65 2E 20 49 74 20 6D 61-79 20 73 74 72 65 6E 67 e. It may streng
0x01C0 74 68 65 6E 20 79 6F 75-72 20 72 65 6C 61 74 69 then your relati
0x01D0 6F 6E 73 68 69 70 20 77-69 74 68 20 79 6F 75 72 onship with your
0x01E0 20 3D 0D 0A 70 61 72 74-6E 65 72 2E 0D 0A 20 20 =..partner...
0x01F0 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
0x0200 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
0x0210 20 20 20 49 66 20 61 20-72 65 6C 61 78 69 6E 67 If a relaxing
0x0220 20 6D 6F 6D 65 6E 74 20-74 75 72 6E 73 20 69 6E moment turns in
0x0230 74 6F 20 74 68 65 20 3D-0D 0A 72 69 67 68 74 20 to the =..right
0x0240 6D 6F 6D 65 6E 74 2C 20-77 69 6C 6C 20 79 moment, will y

============================================================================

так же были соединения на порт 4099 какого-то из этих ip (забыл записать какого именно):

208.72.169.136
64.12.161.185
205.188.7.198

Комп был _пролечен_ касперским, avz, nod32, cureit,
один только касперский убил 408 тел вирусов, вроде всё стало тихо, но
сейчас при включении через где-то полчаса спокойствия начинается снова генерироваться.
И сейчас Касперский ничего не находит.

похоже на разновидность

Trojan-Proxy.Win32.Xorpix.v
Поведение Trojan-Proxy, троянский proxy-сервер

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 15 КБ. Написана на Visual C++. Упакована при помощи UPack, размер распакованного файла - около 258 КБ.

Инсталляция
После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файлы polymorph.dll и desktop.ini. Файлы имеют атрибут <скрытый>.

я так подумал по симптомам поведения компа и потому, что касперский прибил именно такой файл.

Сейчас я заблокировал на модеме 25 и 4099 порты для бедных моих соседушек, но трафик
посторонний иногда ещё хоть и маленький, но есть.

Надеюсь нормально описал симпотмы заражения?

Не получается выполнить 8й пункт.
8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
- система падает в bsod, не как обычно irq_not_less_or_equal и т.д., а там никаких имён файлов,
просто мол ошибка и если повторится - обращайтесь...пробовали 4 раза.

Помогите пожалуйста отыскать зверя и я с радостью вышлю его вам для опытов, даже если
придётся к девочке идти, а не по аське и телефону обьяснять :)

выполните скрипт ...
[code]
begin
BC_QrSvc('poof');
BC_DeleteSvc('poof');
BC_Activate;
RebootWindows(true);
end.
[/code]
после перезагрузки еще один ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('Srpb47.sys','');
QuarantineFile('C:\Documents and Settings\123\Application Data\Mra\Update\games.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe')
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\p artnership.dll (file missing)
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи..

желательно каспера удалить и поставить последнего.

не получается выполнить "ещё один". нашли отсутствие ';' в 12 строке, поправили - система падает в синий экран после или во время того как полосочка пробегает 2й раз. пробовали несколько раз - в одном и том же месте падает. в защищённом режиме не можем загрузиться, т.к. клавиши Fx почему-то перепутаны (в фаре нажимаю alt+f1 - делает не то, такое чувство или сдвинулись ф-ии или шифт залип, хотя все остальные рормально работают).
видимо придётся несит др. клавиатуру :(

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

каспер итак вроде не плохой (6-я версия, обновляется ежечасно)

Попробуйте выполнить второй скрипт в таком виде: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\&#196;&#238;&#234;&#243;&#236;&#229;&#237;&#242;&#251;\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('Srpb47.sys','');
QuarantineFile('C:\Documents and Settings\123\Application Data\Mra\Update\games.dll','');
bc_DeleteFile('C:\WINDOWS\system32\ntos.exe');
bc_DeleteFile('C:\Documents and Settings\All Users\&#196;&#238;&#234;&#243;&#236;&#229;&#237;&#242;&#251;\Settings\partnership.dll');
bc_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Остальные рекомендации остаются в силе. А антивируса Касперского Personal сейчас 7-я версия актуальна. Ключ, если легальный, должен подходить.

тот же BSOD :(
видимо нужно нести клавиатуру и грузить по F8?

пробуем так ...
[code]
begin
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('Srpb47.sys','');
QuarantineFile('C:\Documents and Settings\123\Application Data\Mra\Update\games.dll','');
Bc_DeleteFile('C:\WINDOWS\system32\ntos.exe');
Bc_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
Bc_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]

вот этот "прошёл" без синего экрана, однако стандартный 3й скрипт (лечение\карантин) по прежнему падает в синий...
вот лог после лечения.

C:\WINDOWS\Temp\startdrv.exe T[B]rojan-Proxy.Win32.Wopla.ag[/B]
C:\WINDOWS\system32\ntos.exe [B]Trojan.MulDrop.9286[/B]
выполните скрипт...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Srpb47','Start');
RebootWindows(true);
end.
[/code]
потом еще один
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\Srpb47.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteSvc('Srpb47');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ....

делаем первый - падаем в синий...
второй делаем без
SearchRootkit(true, true);
SetAVZGuardStatus(true);
насколько я понял из пред. постов из-за этих строк мы ловим синий экран..
собираем логи....(девочка не шустро всё делает ; )

стандартный скрипт 3 так и не проходит ?

теперь работает 3й! :)
вот логи.
неужели всё в порядке? :D

Отключите восстановление системы !!!
віполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
BC_DeleteSvc('symavc32');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите последний лог ...

[LEFT][B]virusinfo_syscheck_5.zip[/B]:
Вы уже вложили этот файл в теме : [URL="http://virusinfo.info/showthread.php?t=12993"]новый (?) вирус, рассылающий рекламу, KAV пока не ловит.[/URL]
[B]virusinfo_syscure_5.zip[/B]:
Вы уже вложили этот файл в теме : [URL="http://virusinfo.info/showthread.php?t=12993"]новый (?) вирус, рассылающий рекламу, KAV пока не ловит.[/URL]

ерунда какая-то, не могу прикрепить последний лог.

и комп говорит тормозить теперь стал, может каспер "активизировался"? ;)

[IMG]http://virusinfo.info/Image1.gif[/IMG][B][FONT=Tahoma][SIZE=1][COLOR=#ff0000] Аленка (23:56:52 14/10/2007)[/LEFT]
[/B][/COLOR][/SIZE][/FONT][FONT=Arial][SIZE=2][COLOR=#004080][LEFT]только у меня комп страшно тормозить стал[/LEFT]
[/COLOR][/SIZE][/FONT][FONT=Arial][SIZE=1]
[LEFT][/SIZE][/FONT][LEFT][B][FONT=Tahoma][SIZE=1][COLOR=#ff0000][/LEFT]
[/B][/COLOR][/SIZE][/FONT][FONT=Arial][SIZE=2][COLOR=#004080]при работе[/LEFT]
[/COLOR][/SIZE][/FONT][FONT=Arial][SIZE=1]
[/SIZE][/FONT][FONT=Arial][SIZE=2][COLOR=#004080][LEFT]ну вот открываю окно аськи и у меня думает...... потом начинаю печатать, а у меня секунд 20 запаздывает, потом так же отправляет.... Все так[/LEFT]
[/COLOR][/SIZE][/FONT][FONT=Arial][SIZE=1]
[/SIZE][/FONT][FONT=Arial][SIZE=2][COLOR=#004080]и открывается тоже долго
[/COLOR][/SIZE][/FONT]

удалите предыдущий лог ... тогда новый нормально загрузится

пробую цеплять новые логи:

что-то не нравится мне это
в одном логе

Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
\SystemRoot\System32\Drivers\a5fl5mcm.SYS
Скрипт: Kарантин, Удалить, Удалить через BC F7924000 04A000 (303104)

в другом уже

Модули пространства ядра
Модуль Базовый адрес Размер в памяти Описание Производитель
\SystemRoot\System32\Drivers\aetgixv6.SYS
Скрипт: Kарантин, Удалить, Удалить через BC F7912000 04A000 (303104)

в логах чисто что касается драйверов это от демона он при каждой загрузке создает новый со случайным именем ....

[quote=V_Bond;142121]в логах чисто что касается драйверов это от демона он при каждой загрузке создает новый со случайным именем ....[/quote]
что за демон? sptd.sys?
я правильно понял что чистка должна пройти успешно?
ps: у девочки почему-то ещё copy-paste через раз то работало, то не работало...приходилось перезагружаться, может ещё что-то перевралось в скриптах при переносе из аськи в AVZ?

DAEMON Tools ...sptd.sys тоже от него ....

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.at[/B] (DrWEB: Trojan.MulDrop.9286)[*] \\2007-10-14\\bcqr00001.dta - [B]Trojan-Proxy.Win32.Wopla.ag[/B] (DrWEB: Trojan.NtRootKit.218)[/LIST][/LIST]