Рассылка по smtp при подключении к интернет

**Andryxa** · 29.10.2007, 19:19

Компьютер стал вести себя странно: увеличилась активность при работе в интернет. Даже при выгрузке обычных программ - активность оставалась. При проверке программой netstat, оказалось большое количество подключений по smtp-port к ряду серверов. При этом с течением времени, список подключений менялся. Сканирование Symantec AntiVirus ничего не дало. Данная программа работала постоянно в режиме монитора, с периодическим обновлением базы знаний.
В корне диска С был обнаружен странный файл 7.tmp. Он был выслан на онлайновый сканер Касперского, последний подтвердил заражение трояном (Inject, насколько я помню). После этого была проведена чистка загрузочных ветвей реестра (HKLM/Software/Microsoft/Windows/CurrentVersion/Run), в которой был обнаружен неизвестный мне файл. А также очищен TEMP-каталог.
Но через пару дней ситуация повторилась: забрасывание по почтовому порту на различные сервера информации, рост интернет-трафика.
Как итог, высылаю требуемые для анализа файлы. Прошу помочь избавиться от этой заразы.
Заранее спасибо,
Андрей

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 29.10.2007, 19:35

Логи почему в Safe Mode сделали?
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
// SearchRootkit(true, true);
// SetAVZGuardStatus(True);
 QuarantineFile('c:\acer\epm\epm-dm.exe','');
 QuarantineFile('c:\notes\qnc.exe','');
 QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
 QuarantineFile('C:\WINDOWS\Alaunch.exe','');
 QuarantineFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\winlogon.exe','');
 deleteFile('C:\WINDOWS\system32\wupdsvc7.exe');
 deleteFile('C:\WINDOWS\system32\wupdsvc3.exe');
 DeleteFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\winlogon.exe');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Система будет перезагружена После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13645 , как написано в прил. 3 правил , очистите временные файлы и сделайте новые логи. Логи постарайтесь сделать в нормальном режиме

**Andryxa** · 30.10.2007, 19:21

При первой прогонке AVZ был сформирован список файлов, попавших в карантин (всего три файла). При выполнении скрипта, предоставленного хелпером Numb, был сформирован ещё один список файлов для карантина (из четырёх файлов). Последний список карантина был мной заархивирован и загружен по ссылке. Но согласно инструкциям, в выгрузку должен был войти файл (winlogon.exe) попавший в первый список. Как загрузить его, и нужен ли он?

С уважением,
Андрей

**V_Bond** · 30.10.2007, 19:26

правила ... приложение 3

**Andryxa** · 30.10.2007, 20:09

Доброго дня,

Собрал лог-файлы после выполнения скрипта (сделал в нормальном режиме). Полный набор размещаю. Жду дальнейших ваших указаний по искоренению заразы.
Прошу помочь.

С уважением,
Андрей.

**V_Bond** · 30.10.2007, 21:10

выполните скрипт ...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
 QuarantineFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\winlogon.exe','');
 DeleteFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи...

**Andryxa** · 31.10.2007, 17:58

В процессе работы предложенного скрипта в окне протокола было замечено следующее:
1.4 Поиск маскировки процессов и драйверов:
Проверка не производилась, так как не установлен драйвер мониторинга AVZPM
Ошибка карантина файла, попытка прямого чтения (\??\C:\WINDOWS\system32\DefLIb.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DefLIb.sys)
Карантин с использованием прямого чтения - ошибка
--- конец цитаты.
В связи с этим в карантин, который выгружен согласно правил попал только один файл. Мои попытки найти файл средствами AVZ - успехом не увенчались.
После перезагрузки компьютера создал требуемые для анализа лог-файлы, которые прикрепил к письму.

**V_Bond** · 31.10.2007, 18:45

в логах чисто... какие проблемы остались ?

**Andryxa** · 07.11.2007, 08:11

Спасибо за помощь, уважаемые!

Приболел немного, глаза не хотели ни на что смотреть, - извините за задержку в ответе.

После сделанного вами вывода об отсутствии подозрительных на вирусы в логах сканера - запустил компьютер и подключил к Интернет. В результате возникновения smtp-обмена (того самого из-за которого и поднял волну) не зафиксировал.

Спасибо за помощь, за оперативную помощь.