SVCHOST, rundll vs. Trojan.Siggen.2002

[DoC]

Была открыта тема http://virusinfo.info/showthread.php?t=38596

Ситуация такова - по сети гуляет сие чудо. на компах стоят все обновы от M$. эпизодически в процессах появляются процессы rundll с указанием имени файла из набора букв. инфицирования не происходит, но процессы остаются висеть в памяти.
установлено DrWeb ES 4.44, брендмауэры на компах выключены
на 2003 и 2000 серверах такого не происходит - только на XP.
кто скажет - как бороться?

P.S. сеть на 70 компов + удаленные филиалы ~800 компов. все связано именно как сеть. несколько доменов АД. снаружи не лезет - cisco не пропустит. лезет скорее всего изнутри, но (!) - сканирование компов ничего не показывает - ни недоступных процессов, ни инфицированных файлов - НИЧЕГО... только Spider эпизодически кричит что какой-то комп инфицирован - удаляет следы инжектов. на моем лично компе - появляются процессы rundll32.exe nxdmuecq.zzj,zkdzcmd (имя всегда разное), процесс тупо висит в памяти, такого файла в системе нет, проверка сканером 4.44 и CureIt 5.0 самым свежим ничего не находит. Включен планировщик - задач не появляется.
я правда еще грешу на VMWare 6.0.4 build 93057 - может ли через нее пробовать ползти зараза?

P.P.S. виртуальных систем в VMWare не запущено, если и запускаются - то CentOS 5.5 или OpenSuse 11

согласно рекомендациям сделано - проверка AVZ, сбор HJackThis, логи прилагаются.
так же выложена инфо (получено через FAR) по создаваемому процессу rundll32.exe

так как форум не позволяет менять свои же сообщения и добавлять/удалять вложения - добавляю файлы в отдельном посте

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O15 - Trusted Zone: *.phcc.ru
O15 - Trusted Zone: *.qlcc.ru
O15 - Trusted IP range: 10.0.18.*
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - C:\WINDOWS\abrakadabra.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\abrakadabra.dll','');
 DeleteFile('C:\WINDOWS\abrakadabra.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

Код:

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[DoC]

все сделал.

И что теперь??? все советы кончились?

[Rene-gad]

Восстановление системы: включено - почему не выключено?


-Пофиксите

Код:

O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('msansspc.dll','');
 DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите логию.

[DoC]

После лечения и фиксов комп умер. причем умер странно - при включении ActiveDesktop, входе в панель управления виснет глухо, исчезает рабочий стол. Под другой учеткой работает до тех пор, пока не включается active desktop.

решение было принято кардинальное - переустановка системы, т.к. двое суток с тупым компом мне работать нельзя было.

спасибо всем за помощь и советы.

P.S. глюки вылезли после фикса: O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97}

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения вредоносные программы в карантинах не обнаружены