Вирус выкачивает траффик и рассылает почту на подозрительные адреса

**Nicky** · 19.10.2007, 17:28

Здравствуйте.
У меня завелся какой-то вирус, возможно даже не один, замечена такая активность:
- Пропажа траффика
- Попытки рассылки огромного количества почты по подозрительным адресам через каждые 2 секунды от имени iexplore.exe и spiderml.exe (у меня стоит файрвол ZoneAlarm, он мониторит все процессы и выдает предупреждения. )
- Вирус пробирается по фтп, крадет пароли к сайтам и самопрописвается в index файле.

При сканировании Dr.Web обнаруживается вирус Trojan.NtRootKit.319, в папке с:\windows\system32\drivers\ip6fw.sys
Каждый раз антивирус его удаляет, но он снова возникает после перезагрузки системы....

Я не знаю уже как с этим бороться, помогите, пожалуйста.
Прилагаю логи AVZ и HiJackThis.
Заранее благодарю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 19.10.2007, 17:39

Выполните скрипт в AVZ:

Код:

begin
 BC_QrSvc('runtime');
 BC_QrSvc('runtime2');
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('с:\windows\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

**Nicky** · 20.10.2007, 10:32

Спасибо за помощь, Антивирус теперь больше ничего не находит.

Посмотрите пожалуйста новые логи, есть ли что-то подозрительное?

Что за зверь Vax347b.sys и vsdatant.sys?
Стоит ли мне "подлатать" дыры в безопасности, на которые указывает AVZ?

**drongo** · 20.10.2007, 10:52

Vax347b.sys -Alcohol 120%.
vsdatant.sys-ZoneAlarm Firewall

Пофиксить -> hijackthis :

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

C:\WINDOWS\system32\xvid.ax- прислать по второму пункту правил
P.S.Дырки закрыть, если комп 1 (то есть сетки нет) то все

вот закрывалка :

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
 RebootWindows(true);
end.

**Nicky** · 20.10.2007, 12:06

Комп один, но подключен к локальной сети (кабельный интернет). Если позакрывать дырки, это не повлияет на работу в интернете?

**drongo** · 20.10.2007, 12:17

Должно повлиять- меньше гадости будешь ловить

Можно стереть в скрипте :
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);

Чтобы по локалке можно было бы гулять.

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

Удачи!

**Nicky** · 09.11.2007, 08:49

Сделала архив для сбора безопасных фалов, 21 мб.... у вас лимит - 20, плюс у меня нестабильный и-нет, боюсь во время закачки может оборваться соединение за 30 минут. Как его залить? Если на какое-нибудь файловое хранилище положу - нормально будет?

Добавлено через 1 минуту

К стати ,я веб-дизайнер, могу вам в качестве благодарности бесплатно флеш-баннер сделать ))))