Файл С:\WINDOWS\FILE.BAT; Trojan-Proxy.Win32.Small.mu

[Олег (Булка)]

Со вчерашнего Kaspersky liitentet Security 7.0 говорит, что С:\WINDOWS\FILE.BAT содержит троянскую программу Trojan-Proxy.Win32.Small.mu, Касперcкий этот file.bat удаляет, но через секунду он снова появляется на своём месте! На это Касперский просит процедуру лечения с перезагрузкой - при положительном моём ответе Касперский перезагружает комп, а при загрузке ОС он снова на месте... и так по кругу!

Помогите ребят мне стереть то, что восстанавливает file.bat!

Комп домашний.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\EIO.DLL','');
QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\ctlsys.dll');
DeleteFile('C:\WINDOWS\system32\rssync.dll');
BC_ImportALL;
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Теперь выполним следующий скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing)
O20 - Winlogon Notify: rssync - rssync.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено 1 февраля, 2009 пользователем Falcon

[Олег (Булка)]

Ура!

Система работает хорошо! Признаков, на выше указанные проблемы, нет!

Благодарю!

Повторные логи - прилогаю.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Изменено 1 февраля, 2009 пользователем Falcon

[Олег (Булка)]

Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Благодарю! Хорошо, что есть такие порядочные люди как Вы!

[Falcon]

Не за что, обращайтесь

[Venus Doom]

Извиняюсь, что поднимаю старую тему. Сегодня зашел на сайт и ко мне попала эта гадость - тот самый file.bat и services.exe. Первый (Trojan-Proxy.Win32.Small.mu) был успешно удален, а второй КИС взял проактивной защитой. Система осталась чистой, но уже несколько раз отправляли карантин АВЗ и т.п. с этими файлами в Лабораторию еще в 2008 году. Почему до сих пор не детектим сигнатурно?

Отправил образец, надеюсь все будет ОК!

Изменено 27 марта, 2009 пользователем Venus Doom

[ТроПа]

Ну так вирусописатели не дремлют, вносят изменения в свои файлы и сигрнатурно их уже не задетектить, пока кто-то не отправит новый образец зловреда.

[Venus Doom]

Ну, пока пусть обломятся:

ответили, что это Email-worm.Win32.Joleee.kd

А проактивка хорошо сработала, если б не она, то рассылал бы сейчас спам