Показано с 1 по 14 из 14.

Вирус шлет спам. (заявка № 11248)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    75
    Вес репутации
    38

    Thumbs up Вирус шлет спам.

    На компутере клиента завелся вирус (спамбот) который шлет спам с компутера.

    Виден при помощи netstat -b как simp_dll.dll шлющий почту на кучу серверов, при этом почтовая программа (Outlook, не Express), разумеется, не запущена.

    Ни симантек, ни нод его не лечат: симантек не видет, нод вроде как его засекает и помещает в карантин, но после перезагрузки, все сначала. Восстановление системы отключено.

    CureIt обзывает его trojan.spambot.2381 - но тоже не помогает.
    Последний раз редактировалось glit; 17.03.2008 в 13:47.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    1. Следует выполнить скрипт AVZ (Файл/выполнить скрипт):
    Код:
    begin
     SetAVZGuardStatus(true); 
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
     DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    В ходе выполнения скрипта компьютер перезагрузится.
    2. После перезагрузки пришлите попавшие в карантин файлы согласно правилам и сделайте заново логи - посмотрим, убился зловред или нет

  4. #3
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    75
    Вес репутации
    38
    Выполнил указанные действия, файлы пришлю через несколько минут.

    Заметил следующий момент - если включать компьютер с подключенным сетевым кабелем, то он выдает ошибку инициализации DCOM сервера, и через минуту идет перегружаться, если с отключенным кабелем, с последующим подключением - все в порядке (в смысле не хочет перезагружаться)

    Добавлено через 15 минут
    Файл svshost.exe - отсутсвует - видимо был удаен антивирусом ранее.

    Логи - чуть позже.

    Теперь хочет перегружаться и при подключении к сети и после загрузки с отключенным кабелем :-(

    После перезагрузки simp_dll.dll - на месте :-(
    Последний раз редактировалось glit; 23.07.2007 в 14:31. Причина: Добавлено сообщение

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от glit Посмотреть сообщение
    После перезагрузки simp_dll.dll - на месте :-(
    Это явный зловред, Trojan-Proxy.Win32.Pixoliz.a. Значит так, потребуется еще файл ntoskrnl.exe. Он здоровый, но придется его прислать - возможно, он патченный. Закарантинить его можно скриптом:
    Код:
    begin
     QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
    end.
    Второй момент - Firewall какой-то есть ? Хотя бы встроенный для начала стоит включить.

    PS: Если это та модификация Trojan-Proxy.Win32.Pixoliz, которую я недавно изучал, то ntoskrnl.exe после отправки можно смело менять на "эталонный" ntoskrnl.exe из дистрибутива.
    Последний раз редактировалось Зайцев Олег; 23.07.2007 в 14:42.

  6. #5
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    75
    Вес репутации
    38
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Это явный зловред, Trojan-Proxy.Win32.Pixoliz.a. Значит так, потребуется еще файл ntoskrnl.exe. Он здоровый, но придется его прислать - возможно, он патченный. Закарантинить его можно скриптом:
    Код:
    begin
     QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
    end.
    Второй момент - Firewall какой-то есть ? Хотя бы встроенный для начала стоит включить.

    PS: Если это та модификация Trojan-Proxy.Win32.Pixoliz, которую я недавно изучал, то ntoskrnl.exe после отправки можно смело менять на "эталонный" ntoskrnl.exe из дистрибутива.
    ntoskrnl.exe выслал.
    Фаервол - хм - действительно был вырублен....

  7. #6
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    75
    Вес репутации
    38
    Логи после скрипта
    Последний раз редактировалось glit; 17.03.2008 в 13:47.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\??\C:\qqd.sys','');
     QuarantineFile('C:\qqd.sys','');
     DeleteFile('\??\C:\qqd.sys');
     DeleteFile('C:\qqd.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11248

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от glit Посмотреть сообщение
    Логи после скрипта
    Файл ntoskrnl.exe пришел - он патченный, ему в хвост приписан simp_dll.dll + троянский код для его создания. Далее есть два пути:
    1. Восстановить ntoskrnl.exe из дистрибутива, после чего прогнать скрипт из поста 2 и после перезагрузки сделать логи
    2. Если нет возможности найти ntoskrnl.exe в дистрибутиве, то я могу вернуть присланный файл, из которого удален вредоносный код
    3. Можно применить KAV любой версии, он умеет лечить ntoskrnl.exe и достаточно корректно удалять из него вредоносный код

  10. #9
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    75
    Вес репутации
    38
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Файл ntoskrnl.exe пришел - он патченный, ему в хвост приписан simp_dll.dll + троянский код для его создания. Далее есть два пути:
    1. Восстановить ntoskrnl.exe из дистрибутива, после чего прогнать скрипт из поста 2 и после перезагрузки сделать логи
    2. Если нет возможности найти ntoskrnl.exe в дистрибутиве, то я могу вернуть присланный файл, из которого удален вредоносный код
    3. Можно применить KAV любой версии, он умеет лечить ntoskrnl.exe и достаточно корректно удалять из него вредоносный код
    qqd.sys присылать?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    а как же,конечно прислать и после рекомендаций Олега Зайцева сделать новые логи.

    ваш патченный ntoskrnl.exe носит название - Virus.Win32.Sosisko.a
    Последний раз редактировалось Muzzle; 23.07.2007 в 15:41. Причина: добавил

  12. #11
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    75
    Вес репутации
    38
    Цитата Сообщение от Muzzle Посмотреть сообщение
    а как же,конечно прислать и после рекомендаций Олега Зайцева сделать новые логи.
    qqd.sys не пришлю - файлы 0-вые

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Выполните рекомендации Олега Зайцева из поста #8 и повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    75
    Вес репутации
    38
    Название прикольное.

    Похоже помогло.

    Спасибо большое
    Последний раз редактировалось glit; 17.03.2008 в 13:47.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от glit Посмотреть сообщение
    Название прикольное.

    Похоже помогло.

    Спасибо большое
    Да, судя по логам зловреду каюк ...

  • Уважаемый(ая) glit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. msvmiode.exe шлет почту
      От sasa902 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 05.08.2010, 16:00
    2. Комп шлет спам
      От samcool в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.05.2010, 21:09
    3. Замаскированный svchost шлет спам
      От SergeY1984 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:57
    4. bnxx.tmp, smtpdrv.sys, шлет спам
      От freetzz в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.01.2008, 08:56
    5. Помогите Вирус постоянно шлет спам
      От TornadoBS в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.08.2007, 19:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00777 seconds with 16 queries