Trojan.Spambot.3364

[METEORIT]

Похожая проблема - прошу помочь!

Запускается нечто:

winixjjg.exe

alufeh.exe

winbysm.exe

Если они запущены CureIT определяет их как

Trojan.Spambot.3364 - цифры бывают разные – меняются.

Trojan.Spambot.3378

Trojan.HtmlChange.1

и удаляет, но я так понимаю вообще не находит сам шифровальщик. И при перезагрузке они же (трояны) появляются с новыми наименованиями .exe файлов.

Если убить практически все системные процессы в т.ч. и наших гостей "winixjjg.exe, alufeh.exe, winbysm.exe" полная проверка CureIT - не находит вирусов.

С HijackThis честно сказать не пользовался/не умею (не пробывал что либо править...). Выложу логи.

Думаю восстановление из недавно созданного бекапа раздела "С" решит проблему. Но хотелось бы решить её и более подручными методами.

Прошу помочь. Заранее спасибо!

avz_sysinfo.rar

hijackthis.log

avz_sysinfo.rar

hijackthis.log

[ТроПа]

METEORIT, для каждой проблемы от дельная тема - это на будущее. Прийдёт модератор разберётся.

Думаю восстановление из недавно созданного бекапа раздела "С" решит проблему. Но хотелось бы решить её и более подручными методами.

Каким средством создана точка Восстановления? Если стандартными средствами Винды - то боюсь, что там то же враг.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\docume~1\michael\locals~1\temp\winixjjg.exe');TerminateProcessByName('c:\docume~1\michael\locals~1\temp\winbysm.exe');TerminateProcessByName('c:\docume~1\michael\locals~1\temp\alufeh.exe');QuarantineFile('C:\windows\system32\drivers\lpnjtn.sys','');QuarantineFile('c:\docume~1\michael\locals~1\temp\winixjjg.exe','');QuarantineFile('c:\docume~1\michael\locals~1\temp\winbysm.exe','');QuarantineFile('c:\docume~1\michael\locals~1\temp\alufeh.exe','');DeleteFile('c:\docume~1\michael\locals~1\temp\alufeh.exe');DeleteFile('c:\docume~1\michael\locals~1\temp\winbysm.exe');DeleteFile('c:\docume~1\michael\locals~1\temp\winixjjg.exe');DeleteFile('C:\windows\system32\drivers\lpnjtn.sys');BC_ImportDeletedList;DeleteService('asc3360pr');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. Дайте в письме ссылку на тему.

2.Пофиксить в HijackThis следующие строчки )

F2 - REG:system.ini: Shell= 

[METEORIT]

Все сделал как вы описали. С сожалению резулат тот же. Только теперь вместо тех процессов - появились 3 других:

lfet.exe

winowro.exe

winfapood.exe

Да и CureIT не запускается. :)

avz_sysinfo2.rar

hijackthis2.log

avz_sysinfo2.rar

hijackthis2.log

[Guest Amper]

банально рекомендовать другие антивирусы (антишпионы, антиспамы и пр.) с обновлёнными базами?...

[METEORIT]

Проблема в том что у меня Windows Server 2003 Enerprise Edition. И не каждый антивирусник под 2003 сервер ставится. Пробывал все что можно установить под сервер. Данный троян не лечится/не убивается - почему то ни чем.

Не получится его убить восстановлю целиком радел "С" из бекапа сделанного "Paragon Hard Disk Manager 6.0 Professional". Но хотелось бы всетаки разобраться что за зверь такой=)

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('asc3360pr', 4);DeleteFile('c:\docume~1\michael\locals~1\temp\lfet.exe');DeleteFile('c:\docume~1\michael\locals~1\temp\winfapood.exe');DeleteFile('c:\docume~1\michael\locals~1\temp\winowro.exe');DeleteFile('C:\DOCUME~1\MICHAEL\LOCALS~1\Temp\winowro.exe');DeleteFile('C:\DOCUME~1\MICHAEL\LOCALS~1\Temp\winfapood.exe');DeleteFile('C:\DOCUME~1\MICHAEL\LOCALS~1\Temp\lfet.exe');DeleteFile('C:\windows\system32\drivers\lpnjtn.sys');DeleteService('asc3360pr');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

И сразу несколько вопросов:

1. Почему не те логи?

2. Почему полиморфная версия AVZ?

Сейчас ситуация напоминает охоту на мельницу....неизвестно, что еще живет в системе

Готовьте новый комплект логов при помощи обновленной стандартной версии AVZ.......повоюем в полную силу.

Edited July 11, 2008 by akoK

[METEORIT]

Ответ.

1) Логи все те, после каждой перезагрузки комп. - вирус менял названия своих исполняемых файлов, после удаления его - появлялись другие запущенные процессы с другими именами.

2) Эта версия AVZ - по тому что AVZ4 - не запускалась, как оказалось по вполне обьективной причине))

Вчера пролисля свет. на данную проблему.

В итоге у меня были:

Trojan.Spambot.3364

Trojan.Spambot.3378

Trojan.HtmlChange.1

И как оказалось:

+

Win32.Sector 5. (- но - какой то новенький т.к. CureIT недельной давности его не определял...)

Загрузил новые базы, систему почистил от файлового вируса, подредактировал скрипты - выполнил и более трояны не просыпались.

wise-wistful:

akoK:

Огромное спасибо за помощь!