Похоже Trojan-Downloader.Win32.Small

После ежемесячной проверки антивирусами, удалил 5-10 троянов(каперским+ДрВеб, были проблемы с WinLogOn.exe, но его восстановил,и теперь всё в норме). В районе 19-21 марта, на системном диске заметил файлик as.txt(содержащий список е-мейлов, выдернутых из посещённых страничек). Решил провериться ещё раз, нашлось пара вирусов(трояны,даунлодеры,стартеры). всё удалилось так же ДрВебом и Касперским.

На днях, фаервол(Аутпост), начал пресекать "долбёжку" IE по 25 порту, на различные сайты mxs.mail.ru, 208.66.195.167... Ну собственно,пошло поехало...

По сей день,не могу выцепить сей вирус(runtime.sys,main.sys,ip6fw.sys - всплывали в ходе проверок, либо как помещённые в не тот раздел загрузки,либо сразу при старте системы, ip6fw.sys определялся ДрВебом как Троян.Даунлодер.

Сегодня нашел [URL]http://www.z-oleg.com/secur/virlist/vir1284.php[/URL] практически 1 в 1, только как удалить ету бяку,там нету...
Постоянные проверки, находят:
Rootkit.Win32.Agent.dp
Rootkit.Win32.Agent.ady

P.S п.10 выполнить не смог, AVZ висит(три раза перегружался, убирал все процессы, запускал,и получал висение),внизу написано ток(начал выполняться пункт 1.2.) netapi32.dll:RxRemoteApi(332)
P.S2 Хочется убрать заразу(вошел в азарт,чтоли)+не очень хочется форматить диск.

Залил третий файл...

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\XPROTECTOR.SYS','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\TEMP\svchost.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите файлы карантина AVZ согласно приложению 3 правил.

опять ступориться на netapi32.dll:RxRemoteApi(332) (((((

Вроде файл as.txt пропал... но почему-то не могу зайти в папку систем32\драйверс (проводник виснет).
Авз - только в сейф модах нашла XPROTECTOR.SYS.

Что делать?(

Файл сохранён как 070328_014706_virus_460990dad0a67.zip
Размер файла 20880
MD5 074a006df3bfb3314382f11000e6df97

Можно сразу же профиксить в HijackThis:

[CODE]O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/CODE]

Что не нравиться мне еще строчка в логе АВЗ
[CODE]
Маскировка процесса с PID=3516, имя = "cmd.exe"
>> обнаружена подмена PID (текущий PID=0, реальный = 3516)
[/CODE]

По сообщению вирлаба XPROTECTOR.SYS чист.
Попробуем так: выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\TEMP\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи.

Скрипт выполнил, перегрузил... и опять, пошло поехало(((
Iexplore.exe долбиться на:
194.67.23.20
64.233.183.27 SMTP (TCP:25)
66.111.4.73
216.157.145.27

IEXPLORE.EXE TCP локальное:любое 1785 208.66.195.167 2503 *Блокировать Исходящее Локальный TCP на 2503 --- ИСХ БЛОКИРОВАНО 18:33:35 05 сек. 0 байт 0 байт 0 байт/с

Через трацерт проверял ипы, они какие-то странные...

Строчки, что я писал, в логе Хиджака надо профиксить. Интересно, что делает в процессах cmd.exe? Сами открывали окно командной строки?

Затем запускаем AVZ. Включаем AVZPM. Выполняем стандартный скрипт по сбору информации, засылаем лог сюда.

Нет,окно вроде не открывал.
запускал АвзПМ, запустил пункт 2, в стандартных скриптах.


во время проверки и в данный момент ИЕ бьётся головой об фаервол)
cmd.exe запускал перед последней проверкой,закрыл и начал проверяться.

По всем признакам, это то, о чем предпологалось в #1 этой темы.

в AVZ выключить AVZPM, затем выполнить скрипт.
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
DeleteFile('\??\C:\WINDOWS\system32\main.sys');
DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать boot_clr.log

PavelA
Да,я писал(выше) что по симптомам - оно)))

Спасибо,буду ждать)


И ещё, если можно,тему не закрывайте потом... у девушки,такой же вирь сидит(и получен примерно в тоже время), правда у неё нет фаервола, стоит какой-то простенький антивирь...

Зафтра, буду её комп лечить)

Нарисовал в верху. Не совсем уверен в правильности, но убивать нужно именно это.

другая система в новой теме, иначе пеняйте на себя :)))

drongo

Ок)))

Нет времени ждать. Пора домой 8)

О результатах посмотрю завтра.

Скрипт прогнал, файла с логом boot_clr.log найти не могу(

Но фаервол всёравно ловит "бьющихся об стену"(

Он в директории, где лежит AVZ.

PavelA

Нету(((

Лог, который получилось сварганить без ребута.
При включённом AVZPM.
Щас перегрузиться попробую...

Судя по всему, Касперский обновил базу(сегодня), где вирь был опознан...
завтра выложу название вирей и где они были)

[QUOTE=TaG;101731]Лог, который получилось сварганить без ребута.
При включённом AVZPM.
Щас перегрузиться попробую...[/QUOTE]

По анализу лога зверь был убит.;) надо будет на будущее проанализировать, что советовал не совсем верно >:(

Нужно заново будет сделать логи, чтобы проверить все ли удалилось.

Неа((( после выполнения скрипта, проблема не решилась(


28.03.2007 23:52:24 Файл C:\WINDOWS\system32\main.sys, обнаружено: троянская программа 'Rootkit.Win32.Agent.el'.
28.03.2007 23:52:24 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
28.03.2007 23:52:24 Файл C:\WINDOWS\system32\main.sys не вылечен: обработка отложена пользователем.
28.03.2007 23:52:27 Файл C:\WINDOWS\system32\wsys.dll, обнаружено: троянская программа 'Trojan.Win32.Pakes'.
28.03.2007 23:52:27 Файл C:\WINDOWS\system32\wsys.dll не вылечен: обработка отложена пользователем.
29.03.2007 0:31:41 Файл c:\windows\system32\main.sys, обнаружено: троянская программа 'Rootkit.Win32.Agent.el'.
29.03.2007 0:32:02 Файл c:\windows\system32\main.sys, обнаружено: троянская программа 'Rootkit.Win32.Agent.el'.
29.03.2007 0:32:04 Объект автозапуска HKLM\System\ControlSet001\Services\EXAMPLE\EXAMPLE удален.
29.03.2007 0:32:04 Объект автозапуска HKLM\System\ControlSet002\Services\EXAMPLE\EXAMPLE удален.
29.03.2007 0:32:04 Объект автозапуска HKLM\System\ControlSet003\Services\EXAMPLE\EXAMPLE удален.
29.03.2007 0:32:07 Файл c:\windows\system32\main.sys удален.
29.03.2007 0:32:08 Модуль WINLOGON.EXE\ole2.dll, обнаружено: троянская программа 'Trojan.Win32.Pakes'.
29.03.2007 0:32:22 Модуль WINLOGON.EXE\ole2.dll не вылечен: выбрано действие "Пропустить".
29.03.2007 0:32:53 Модуль WINLOGON.EXE\ole2.dll, обнаружено: троянская программа 'Trojan.Win32.Pakes'.
29.03.2007 0:32:53 Модуль WINLOGON.EXE\ole2.dll не вылечен: неизлечим.
29.03.2007 0:33:41 Файл C:\WINDOWS\System32\WSYS.DLL, обнаружено: троянская программа 'Trojan.Win32.Pakes'.
29.03.2007 0:33:44 Файл C:\WINDOWS\System32\WSYS.DLL будет удален при перезагрузке компьютера.


Собственно, что сделал каспер, после обновления(данный вирь, ток 26 марта был добавлен в базу).
На втором компе, такой же был(даже почти выяснил когда он попал, ток осталось выяснить,откуда)))

Всем спасибо)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]