Win32/Small или другой вирус

**Ven** · 01.08.2007, 06:12

Прошу помочь. Не удивляйтесь что время поста такое. Вирус на сервере и я не могу позволить себе перезагружать его в рабочее время.

Кроме обязательных логов могу добавить, что ключ

Код:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "%System%\perfc000.dat"

удаляется легко, но сразу же появляется опять

Спасибо всем откликнувшимся.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Muffler** · 01.08.2007, 06:47

Да... Дела хреновые...
Сейчас что-то будем думать...

**Ven** · 01.08.2007, 06:50

Расскажите хоть примерно что там

**Muffler** · 01.08.2007, 07:00

Самая большая проблема это ошибки в SPI/LSP - AVZ их не корректно исправляет на серверах.

Первое что сделайте, это прочитайте и скачайте вот это -> http://www.virusinfo.info/showthread.php?t=10267

После этого вот такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('so1.dll','');
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
 QuarantineFile('C:\Documents and Settings\adm\WINDOWS\system32\smss.exe','');
 QuarantineFile('c:\windows\system32\rcssrv.exe','');
 BC_DeleteFile('C:\WINDOWS\system32\perfc000.dat');
 BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
 BC_DeleteFile('C:\WINDOWS\so1.dll');
 BC_DeleteFile('C:\WINDOWS\system32\so1.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.

После выполнения и перезагрузки нужны новые логи и карантин по правилам.

**Ven** · 01.08.2007, 07:04

Что такое SPI/LSP?
Какую из них качать для Win 2003 Std RU?
Просто скачать на всякий случай или скачать и в случае проблем после выполнения скрипта нужно будет будет запустить и пофискить возникшие проблемы?

**Muffler** · 01.08.2007, 07:14

Просто скачать на всякий случай или скачать и в случае проблем после выполнения скрипта нужно будет будет запустить и пофискить возникшие проблемы?

Скачайте на всякий случай.

Какую из них качать для Win 2003 Std RU?

Качайте вот эту -> http://www.winsockfix.nl/winsockxpfix.exe

Что такое SPI/LSP?

Долго объяснять - помоему в хелпе по AVZ об этом написано...
Читайте хелп по AVZ.

**Ven** · 01.08.2007, 09:08

logs #2

**Ven** · 01.08.2007, 15:56

Результат загрузки
Файл сохранён как 070801_091843_virus_46b017b3f2849.zip
Размер файла 95130
MD5 0d7660afb6e487773caebe8b7c45fa1d

Файл закачан, спасибо!

Добавлено через 6 часов 37 минут
Почему никто не отвечает?

Я что-то не так сделал или отчет показал что все чисто?

**Muffler** · 01.08.2007, 17:47

Я понимаю что это сервер, но вы востановление системы отключили?

Если да, тогда пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)

O2 - BHO: H - {C80FA185-0C28-4806-BA80-3467E02E587F} - so1.dll (file missing)

O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat

Плюс, выполните вот такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 BC_QrFile('C:\Documents and Settings\adm\WINDOWS\System32\smss.exe');
 BC_QrFile('C:\WINDOWS\svchost.exe');
 BC_DeleteFile('C:\WINDOWS\system32\perfc000.dat');
 BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
 BC_DeleteFile('C:\WINDOWS\so1.dll');
 BC_DeleteFile('C:\WINDOWS\system32\so1.dll');
 BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_LogFile(GetAVZDirectory + 'bc_log.txt');
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.

После перезагрузки, пришлите нам карантин и файл bc_log.txt(он находится в папке AVZ), плюс нужны логи пп. 10-13 из правил.

**Ven** · 01.08.2007, 22:28

вот три файлика, сейчас карантин сделаю

**Ven** · 01.08.2007, 22:30

Результат загрузки
Файл сохранён как 070801_222934_virus_46b0d10ea050f.zip
Размер файла 601
MD5 4fbbc7e917a592f63314c0d2be0182b0

Файл закачан, спасибо!