-
Junior Member
- Вес репутации
- 69
Подхватил что-то отправляющее много почты!
Всем здравствуйте!
На компе стоит Симантек Корпоративный.
В один прекрасный день, с моего компа стал отправляться спам, симантек его перехватывал и блокировал (вроде бы).
Полная проверка компа симантеком ничего не дала.
Свежий CureIt нашел и обнаружил несколько зловредов:
>c:\windows\system32\ati2paag.dll инфицирован Trojan.PWS.GoldSpy.origin - неизлечим - перемещен
>c:\windows\system32\mssrv32.exe инфицирован Trojan.MulDrop.8347 - удален
>c:\windows\system32\svchost.exe:exe.exe инфицирован Trojan.DownLoader.34860 - удален
[Проверяемый путь] C:\
C:\autorun.inf инфицирован Trojan.Recycle - удален
>C:\Documents and Settings\Noutbook\Local Settings\Temporary Internet Files\Content.IE5\KZQZ6TIX\xxxxbar[1].htm\JavaScript.0 инфицирован VBS.PackFor
C:\Documents and Settings\Noutbook\Local Settings\Temporary Internet Files\Content.IE5\KZQZ6TIX\xxxxbar[1].htm - архив содержит инфицированные объекты - перемещен
C:\Documents and Settings\Noutbook\Local Settings\Temporary Internet Files\Content.IE5\VB2RA5QZ\i[1].htm инфицирован VBS.PackFor - удален
>C:\Program Files\WinRAR\Dos_US.SFX - ошибка распаковки
C:\WINDOWS\Downloaded Program Files\popcaploader.dll является потенциально опасной программой Program.PopcapLoader
C:\WINDOWS\Downloaded Program Files\popcaploader.dll - неизлечим - удален
Далее перезагрузился и запустил АВЗ, предварительно отключив Авто-протек Симантека. Странно, что когда АВЗ сделал первый скрипт, то Симантек оказался включенным. Еще обратил внимание на то, что при выполнении скриптов галочка стояла только напротив диска С, хотя есть еще и диск D. Это имеет значение?
Логи прикрепляю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
QuarantineFile('C:\WINDOWS\TEMP\MBX@5A0@11626C0.###','');
DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
BC_ImportALL;
BC_DeleteSvc('ati2psag');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Trojan.PWS.GoldSpy.origin - ворует пароли. Пришла пора их менять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 69
Скрипт выполнил, комп перезагрузился.
Результат загрузки
Файл сохранён как 071004_082655_virus_4704ea1f46c2a.zip
Размер файла 7087
MD5 70b1482c8d302dfddccf71fe65d09845
Файл закачан, спасибо!
Добавлено через 1 минуту
PavelA, спасибо, пренепременно поменяем-с! )
Последний раз редактировалось Kirill_sv; 04.10.2007 в 17:28.
Причина: Добавлено
-
Это был Trojan-Spy.Win32.Banker.ekk по Касперскому.
Сделайте новые логи, надо убедиться, что он именно был.
Добавлено через 9 минут
А тот файлик с интересным именем отправлен на анализ в ЛК.
Подождем вердикт.
Добавлено через 26 минут
Ответ пришел - вредоносный код не обнаружен.
Последний раз редактировалось Bratez; 04.10.2007 в 18:13.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 69
-
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 69
Выполнил скрипт, комп перезагрузился, но содержание карантина вроде не изменилось
Добавлено через 39 секунд
Результат загрузки
Файл сохранён как 071004_101304_virus_4705030072a3d.zip
Размер файла 7113
MD5 67c78c2a786ccc73b62a7a90ec642496
Файл закачан, спасибо!
Последний раз редактировалось Kirill_sv; 04.10.2007 в 19:13.
Причина: Добавлено
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 69
Кстати, вирус появился после посещения сайта ЗАО АКГ ИНАУДИТ http://www_inaudit_spb_ru ( _ заменить на . )
-
Junior Member
- Вес репутации
- 69
-
выполните скрипт ..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
сделайте лог (стандартный скрипт3) ...
-
-
Junior Member
- Вес репутации
- 69
Что-то комп завис после скрипта, симантек этот как-то хреново отрубается, снимаешь галку с Энэйбл авто-протект, потом смотрю - а он включен почему-то, странно.
вот лог:
-
сейчас в логах чисто .... завис скорее связан с не отключенным антивирусом ...
-
-
в логах ничего подозрительного нет.
что из этого вам нужно?остальное исправим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Junior Member
- Вес репутации
- 69
Большое спасибо Bratez, V_Bond, PavelA, Muzzle за помощь!
Вот это точно не нужно, остальное нужно посмотреть что значит:
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
Отключаем то что "точно не нужно" ....
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 69
Еще раз большое спасибо всем за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ati2psag.sys - Trojan-Banker.Win32.Banker.ekk (DrWEB: BackDoor.Haxdoor.470)
-