-
Junior Member
- Вес репутации
- 62
Вирус шлет спам.
На компутере клиента завелся вирус (спамбот) который шлет спам с компутера.
Виден при помощи netstat -b как simp_dll.dll шлющий почту на кучу серверов, при этом почтовая программа (Outlook, не Express), разумеется, не запущена.
Ни симантек, ни нод его не лечат: симантек не видет, нод вроде как его засекает и помещает в карантин, но после перезагрузки, все сначала. Восстановление системы отключено.
CureIt обзывает его trojan.spambot.2381 - но тоже не помогает.
Последний раз редактировалось glit; 17.03.2008 в 13:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Следует выполнить скрипт AVZ (Файл/выполнить скрипт):
Код:
begin
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. После перезагрузки пришлите попавшие в карантин файлы согласно правилам и сделайте заново логи - посмотрим, убился зловред или нет
-
-
Junior Member
- Вес репутации
- 62
Выполнил указанные действия, файлы пришлю через несколько минут.
Заметил следующий момент - если включать компьютер с подключенным сетевым кабелем, то он выдает ошибку инициализации DCOM сервера, и через минуту идет перегружаться, если с отключенным кабелем, с последующим подключением - все в порядке (в смысле не хочет перезагружаться)
Добавлено через 15 минут
Файл svshost.exe - отсутсвует - видимо был удаен антивирусом ранее.
Логи - чуть позже.
Теперь хочет перегружаться и при подключении к сети и после загрузки с отключенным кабелем :-(
После перезагрузки simp_dll.dll - на месте :-(
Последний раз редактировалось glit; 23.07.2007 в 15:31.
Причина: Добавлено сообщение
-
Сообщение от
glit
После перезагрузки simp_dll.dll - на месте :-(
Это явный зловред, Trojan-Proxy.Win32.Pixoliz.a. Значит так, потребуется еще файл ntoskrnl.exe. Он здоровый, но придется его прислать - возможно, он патченный. Закарантинить его можно скриптом:
Код:
begin
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
end.
Второй момент - Firewall какой-то есть ? Хотя бы встроенный для начала стоит включить.
PS: Если это та модификация Trojan-Proxy.Win32.Pixoliz, которую я недавно изучал, то ntoskrnl.exe после отправки можно смело менять на "эталонный" ntoskrnl.exe из дистрибутива.
Последний раз редактировалось Зайцев Олег; 23.07.2007 в 15:42.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Зайцев Олег
Это явный зловред, Trojan-Proxy.Win32.Pixoliz.a. Значит так, потребуется еще файл ntoskrnl.exe. Он здоровый, но придется его прислать - возможно, он патченный. Закарантинить его можно скриптом:
Код:
begin
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
end.
Второй момент - Firewall какой-то есть ? Хотя бы встроенный для начала стоит включить.
PS: Если это та модификация Trojan-Proxy.Win32.Pixoliz, которую я недавно изучал, то ntoskrnl.exe после отправки можно смело менять на "эталонный" ntoskrnl.exe из дистрибутива.
ntoskrnl.exe выслал.
Фаервол - хм - действительно был вырублен....
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось glit; 17.03.2008 в 13:47.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\qqd.sys','');
QuarantineFile('C:\qqd.sys','');
DeleteFile('\??\C:\qqd.sys');
DeleteFile('C:\qqd.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11248
-
-
Сообщение от
glit
Логи после скрипта
Файл ntoskrnl.exe пришел - он патченный, ему в хвост приписан simp_dll.dll + троянский код для его создания. Далее есть два пути:
1. Восстановить ntoskrnl.exe из дистрибутива, после чего прогнать скрипт из поста 2 и после перезагрузки сделать логи
2. Если нет возможности найти ntoskrnl.exe в дистрибутиве, то я могу вернуть присланный файл, из которого удален вредоносный код
3. Можно применить KAV любой версии, он умеет лечить ntoskrnl.exe и достаточно корректно удалять из него вредоносный код
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Зайцев Олег
Файл ntoskrnl.exe пришел - он патченный, ему в хвост приписан simp_dll.dll + троянский код для его создания. Далее есть два пути:
1. Восстановить ntoskrnl.exe из дистрибутива, после чего прогнать скрипт из поста 2 и после перезагрузки сделать логи
2. Если нет возможности найти ntoskrnl.exe в дистрибутиве, то я могу вернуть присланный файл, из которого удален вредоносный код
3. Можно применить KAV любой версии, он умеет лечить ntoskrnl.exe и достаточно корректно удалять из него вредоносный код
qqd.sys присылать?
-
а как же,конечно прислать и после рекомендаций Олега Зайцева сделать новые логи.
ваш патченный ntoskrnl.exe носит название - Virus.Win32.Sosisko.a
Последний раз редактировалось Muzzle; 23.07.2007 в 16:41.
Причина: добавил
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Muzzle
а как же,конечно прислать
и после рекомендаций Олега Зайцева сделать новые логи.
qqd.sys не пришлю - файлы 0-вые
-
Выполните рекомендации Олега Зайцева из поста #8 и повторите логи.
-
-
Junior Member
- Вес репутации
- 62
Название прикольное.
Похоже помогло.
Спасибо большое
Последний раз редактировалось glit; 17.03.2008 в 13:47.
-
Сообщение от
glit
Название прикольное.
Похоже помогло.
Спасибо большое
Да, судя по логам зловреду каюк ...
-