Win32:Small-JMK [Trj]

[biasha]

Доброго времени суток!
У нас такая проблема: существует небольшая корпоротивная сетка. На компе админа стоит консоль сетевой версии Avast, на каждой локальной машине стоит агент который управляется с консоли, консоль при обнаружении заразы скидывает на почты сообщение. Недавно у одного из пользователей при загрузке машины появлялись какие то микробы (на почту приходили по 4 сообщения при каждой загрузке компа, и самое интересное локально агент avast вообще не риагировал никак) особого значения не придали пересадили систему и все путем. Вчера еще два пользователя схатили эту же заразу. Взяв один комп на реанимацию, решил обратится к Вам за помощью. По порядку выполнял Ваши правила, после проверки CureIT количество сообщений уменьшилось до 2 и Avast (локально) стал блокировать эту гадась. Вот последние 2 сообщения: 1. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
2. avast! [PROIZ1WS]: Файл "E:\Documents and Settings\Subadm.KGI198\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
Логи прилагаю, надеюсь на Вашу помощь.

[akok]

.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('E:\WINDOWS\system32\winlagons.exe','');
 QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe','');
 QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe','');
 QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\ELBOLCZU\ieupdater[1].exe','');
 QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe','');
 QuarantineFile('E:\WINDOWS\system32\drivers\spools.exe','');
 QuarantineFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe','');
 DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
 DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe');
 DeleteFile('E:\WINDOWS\system32\winlagons.exe');
 DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\ELBOLCZU\ieupdater[1].exe');
 DeleteFile('E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18275

Добавлено через 1 минуту

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

	
O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe

kgi198.lcl

Это ваш домен?

Повторите логи

[biasha]

Карантин закачал ловите!

Да это наш домен

Добавлено через 8 минут

Профиксить не одно строку не могу, причина их просто нет в списке. Логи высылать? Кстати все зверье перестало беспокоить

[akok]

E:\WINDOWS\system32\winlagons.exe, E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe, E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe - Trojan-Downloader.Win32.Tiny.aii


e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe - Backdoor.Win32.Agent.eom
E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe - Trojan-Downloader.Win32.Tiny.aii


Догадайтесь с одного раза откуда пришла зараза

Добавлено через 1 минуту

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[biasha]

После выполнения последнего скрипта и перезагрузки машины avast локально выловил микробов, на почту пришли следующие сообщения: 1. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
2.avast! [PROIZ1WS]: Файл "E:\Documents and Settings\Subadm.KGI198\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом
3. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\Drivers\vdmwmjc1.sys" инфицирован "Win32:Trojan-gen {Other}" вирусом.
4. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
5. avast! [PROIZ1WS]: Файл "E:\Documents and Settings\Subadm.KGI198\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
После 14.00 все логи сделаю снова и перешлю.

[biasha]

Вот новые логи как и обещал. Посмотрите пожалуйста.

[akok]

Вы перед выполнением скрипта антивирус выключаете?

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('e:\windows\system32\drivers\spools.exe');
 TerminateProcessByName('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
 DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
 DeleteFile('e:\windows\system32\drivers\spools.exe');
 BC_ImportDeletedList;
 BC_DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
 BC_DeleteFile('e:\windows\system32\drivers\spools.exe');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторить логи с п.10 правил

Добавлено через 1 минуту

E:\WINDOWS\system32\Drivers\vdmwmjc1.sys - -AVZ-BC Kernel Driver

E:\WINDOWS\system32\ftpdll.dll - в логах не отражаеться avast гробит

[biasha]

так точно, avast отключаю.ща логи пришлю

[biasha]

Вот логи

[biasha]

Вроде как микробы, больше не беспокоят...пока))))на этой машине. Спасибо огромное! Теперь следующий вопрос: точно с такой же дрянью есть другая юзерская машина. Как быть, сделать тоже самое или создавать новую тему и выкладывать туда новые логи с другой машины?

[akok]

Зловреда извели.
Если вы Абсолютно уверенны, что зверь один в один то можно попытаться адаптировать скрипты, на на свой старх и риск

Я рекомендовал бы создать новую тему с логами


P>S> У нас спасибо не пишут, а нажимают

[biasha]

Ну значит так и сделаю, только завтра

[biasha]

Здравствуйте! Вчера извести зловреда извели, но сегодня повторилось тоже самое. С утречка я вернул излеченый комп пользователю, проверил как загрузился, было все в порядке. Ближе к обеду у пользователя возникли кое какие проблемы, мне пришлось зайти на машину со своими правами, и этот микроб снова активировался. Причем пользователь утверждает что в интернете не был вообще, значит зловред прячится где то на машине. Посмотрите новые логи, может все таки что то получится сделать.

[rubin]

выполните

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
 DeleteFile('e:\windows\system32\drivers\spools.exe');
 DeleteFile('E:\WINDOWS\system32\ftpdll.dll');
 DeleteFile('E:\Documents and Settings\Subadm.KGI198\ftpdll.dll');
 DeleteFile('E:\WINDOWS\system32\ftpdll.bak');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Пофиксьте:

Код:

O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] E:\Documents and Settings\Subadm.KGI198\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe

Рекомендую задуматься о смене антивируса
http://virusinfo.info/showthread.php?t=1550

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. e:\\documents and settings\\proiz1.kgi198\\ie_updates3r.exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
  2. e:\\documents and settings\\proiz1.kgi198\\local settings\\temporary internet files\\content.ie5\\elbolczu\\ieupdater[1].exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
  3. e:\\documents and settings\\proiz1.kgi198\\local settings\\temporary internet files\\content.ie5\\vvl779ow\\ieupdater[1].exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
  4. e:\\documents and settings\\proiz1.kgi198\\рабочий стол\\ieupdr2.exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
  5. e:\\documents and settings\\subadm.kgi198\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.hs (DrWEB: BackDoor.FireOn)
  6. e:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.hs (DrWEB: BackDoor.FireOn)
  7. e:\\windows\\system32\\winlagons.exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801