DrWeb находит Trojan.PWS.Pace в файле ftpdll.dll

[Firsovich]

DrWeb находит Trojan.PWS.Pace в файле ftpdll.dll. удаляет его, а он снова появляется, при этом активно работают Internet32.exe и spool.exe. Экран монитора постоянно дергался, что-то быстро промелькивало на нем. Я проделал соответствующие шаги, указанные в правилах, в частности шаги с 8 по 13. Я прошу сообщить мне, что дальше делать.
P.S. Операционная система Windows 2000 SP4.
Сейчас, после использования AVZ, экран монитора спокоен, Internet32.exe и spool.exe в памяти сидят, но не активны.
С уважением Алексей Полетаев

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\NetPanel\IEHelper.dll (file missing)
O4 - HKLM\..\Run: [NetPanel] "C:\Program Files\NetPanel\Starter.exe" /path="C:\Program Files\NetPanel"
O4 - HKLM\..\Run: [ntuser] C:\WINNT\system32\drivers\internet32.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Администратор\Local Settings\Application Data\spool.exe
O4 - HKCU\..\Run: [CS Update] copy /Y "C:\Program Files\ConnectionServices\ConnectionServices.dll.upd" "C:\Program Files\ConnectionServices\ConnectionServices.dll"
O4 - HKCU\..\Run: [ntuser] C:\WINNT\system32\drivers\internet32.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Администратор\Local Settings\Application Data\spool.exe
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\winnt\csrss.exe
O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINNT\system32\drivers\internet32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\Default User\Local Settings\Application Data\spool.exe (User 'Default user')
O20 - Winlogon Notify: mp3res - mp3res.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\NetPanel\Starter.exe','');
 QuarantineFile('C:\winnt\csrss.exe','');
 QuarantineFile('C:\WINNT\system32\dpmw32.exe','');
 QuarantineFile('C:\Documents and Settings\Default User\Local Settings\Application Data\spool.exe','');
 QuarantineFile('C:\winnt\System32\lrito5aca-856.sys','');
 QuarantineFile('C:\WINNT\system32\ftpdll.dll','');
 QuarantineFile('C:\WINNT\system32\drivers\internet32.exe','');
 QuarantineFile('C:\Program Files\NetPanel\NetPanel.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\spool.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\spool.exe');
 DeleteFile('C:\WINNT\system32\drivers\internet32.exe');
 DeleteFile('C:\WINNT\system32\ftpdll.dll');
 DeleteFile('C:\winnt\System32\lrito5aca-856.sys');
 DeleteFile('C:\Documents and Settings\Default User\Local Settings\Application Data\spool.exe');
 DeleteFile('C:\winnt\csrss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('catchme');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25691).
Сделайте новые логи, начиная с п.10 правил.

[Firsovich]

Уважемый Bratez, я послал требуемый карантин согласно приложению 3 правил и сделал логи начиная с п.10 правил.
С уважением А. Полетаев

[Alex_Goodwin]

1. Пофиксить:

Код:

O4 - HKLM\..\Run: [zango] c:\program files\zango\zango.exe

Это адварь.
2. Ждем решения вирлаба по карантину.

Добавлено через 6 минут

Из присланного: C:\Documents and Settings\Default User\Local Settings\Application Data\spool.exe - Worm.Win32.Socks.agn
C:\WINNT\system32\drivers\internet32.exe - Worm.Win32.Socks.agn
C:\Documents and Settings\Администратор\Local Settings\Application Data\spool.exe - Worm.Win32.Socks.agn
C:\WINNT\system32\ftpdll.dll - Worm.Win32.Socks.u

[Firsovich]

Уважаемый Alex_Goodwin у меня возник вопрос к Вам. Мне нужно пофиксить этот
адварь сейчас или дождаться ответа от Brateza? То, что добавлено Вами, это как я понял храниться у меня только в карантине и я с помощью скрипта от AVZ и пофиксенного ранее от HijackThis благополучно удалил эти файлы из комьютера?

[pig]

Фиксите сейчас. Перечисленное - да, удалено, иначе пошли бы на второй круг.

[Firsovich]

Уважаемый pig, я пофиксил этот адварь, как я понял, в реестре.
К сожалению, я не посмотрел перед фиксацией данную директорию
c:\program files\zango\, т.к. после фиксации я ее не обнаружил. Скорее всего
она была удалена ранее или программа HijackThis сама удалила ее ?

[pig]

Скорее всего, её давно вынесли, а в реестре просто мусор висел.

[Firsovich]

Этот компьютер не мой, а коллеги по работе. Она частенько скачивает оффисные игрушки и использует дополнительную почту на mail.ru. Скорее всего зараза пришла оттуда. Как только все вылечится, я поставлю ей Reg Organizer и почищу реестр от мусора.
PS. Проверил DrWeb-ом, все нормально, чисто. Операционная система в порядке.
Программы работают в штатном режиме. Жду заключения вирлаба по карантину и по последним логам, которые я представил.

[Firsovich]

Уважаемые Helper-ы!
Жду вердикта по остальным файлам, отправленным в карантин AVZ-ом.
QuarantineFile('C:\Program Files\NetPanel\Starter.exe','');
QuarantineFile('C:\winnt\csrss.exe','');
QuarantineFile('C:\WINNT\system32\dpmw32.exe','');
QuarantineFile('C:\winnt\System32\lrito5aca-856.sys','');
QuarantineFile('C:\Program Files\NetPanel\NetPanel.exe','');

[Bratez]

Starter.exe, dpmw32.exe, NetPanel.exe - чистые.
csrss.exe, lrito5aca-856.sys - отсутствуют.

[Firsovich]

Будем считать, что все нормально! Компьютер чист и я могу со спокойной совестью
уходить в отпуск. Всем спасибо, особенно тем, кто придумал virusinfo.info.
Это самая настоящая палочка-выручалочка.
С уважением А.Полетаев

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\default user\\local settings\\application data\\spool.exe - Worm.Win32.Socks.agn (DrWEB: Trojan.PWS.Pace)
  2. c:\\documents and settings\\администратор\\local settings\\application data\\spool.exe - Worm.Win32.Socks.agn (DrWEB: Trojan.PWS.Pace)
  3. c:\\winnt\\system32\\drivers\\internet32.exe - Worm.Win32.Socks.agn (DrWEB: Trojan.PWS.Pace)
  4. c:\\winnt\\system32\\ftpdll.dll - Trojan-Downloader.Win32.Small.agct (DrWEB: Trojan.PWS.Pace)