Спамерский сетевой червяк

[snusnumrik]

Доброго времени суток!
Прошу помощи: никак не могу избавиться от червяка(ей).
Что происходит с системой - куча заданий Ат в планировщике + через определенное время выскакивает IE и открывает рандомную страницу + червь стучится через рандомный порт локальный на удаленный 25 (делаю команду netstat -a и все вижу).

Один сидит в папке в папке D:\Documents and Settings\All Users\Application Data\
имя его 1QU2u813.exe (+появляется файл конфига его EP3163Xk.dat). ДрВеб его не видит. Убиваю процесс, удаляю его - через некоторое время он все равно появляется (др веб молчит).
Предполагаю чтооо, червь прописался (дописался) к какому-нить системному процессу и я его не вижу.
Прикрепляю логи и результат команды netstat -a.
еще раз прошу о помощи)

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\documents and settings\all users\application data\1qu2u813.exe');
 QuarantineFile('d:\documents and settings\all users\application data\1qu2u813.exe','');
 DeleteFile('d:\documents and settings\all users\application data\1qu2u813.exe');
DeleteFileMask('%windir%\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[snusnumrik]

Новые логи

[thyrex]

virus.zip удалите из вложений и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

В имена этих файлов

Код:

 <pre>
c:\program files\VMware\VMware Workstation\hqtray .exe --->c:\program files\VMware\VMware Workstation\hqtray.exe
c:\program files\VMware\VMware Workstation\vmware-tray .exe --->c:\program files\VMware\VMware Workstation\vmware-tray.exe
</pre>

добавлены лишние пробелы перед расширением. Если ComboFix сам все не исправил, удалите эти пробелы

Эти файлы и их записи в реестре

d:\documents and settings\Spok\Application Data\AGAVA TBP
d:\documents and settings\Spok\Application Data\AGAVA TBP\filterdb.stg
d:\documents and settings\Spok\Application Data\AGAVA TBP\learndb.stg
d:\documents and settings\Spok\Application Data\AGAVA TBP\settings.stg

восстановите из карантина ComboFix http://virusinfo.info/showpost.php?p=514765&postcount=3

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Удалите ComboFix

В остальном чисто. Проблема решена?

[snusnumrik]

да, вроде чисто. Сетевой активности не наблюдаю)И что это за червь был?Т.е. как на него в дальнейшем не наступить?
Все что нужно - пришлю)

[thyrex]

И что это за червь был?

Только после анализа карантина можно будет что-то сказать

[snusnumrik]

все выслал

[thyrex]

В карантине Trojan-Downloader.Win32.Agent.dqzw

[snusnumrik]

В карантине Trojan-Downloader.Win32.Agent.dqzw

интересует способ его проникновения в систему, чтоб уметь предохраняться

[thyrex]

Для ответа нужно быть вирусным аналитиком и разобрать зверя по косточкам

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. d:\documents and settings\all users\application data\1qu2u813.exe - Trojan-Downloader.Win32.Agent.dqzw ( DrWEB: Trojan.DownLoad1.59985, BitDefender: Trojan.Generic.3914917, NOD32: Win32/TrojanClicker.Agent.NEB trojan )