Заранее извиняюсь за многословность, сумбурность и отсутствие пунктуации в некоторых местах - время уже позднее, да и подробности уже некоторые поблекли в памяти...

Итак есть компьютер. Не могу сказать где, не могу сказать что за комп, не могу выслать логи или зараженные файлы (1-е - потому что вынос инфы с этого компа может не понравиться нашей СБ, а вторые потому что не сохранились - не до этого уже было)...
Могу только сказать что на том компе было установлено WinXP SP2 + Symantec Corporate 10.1.6000...
И вот на этом как раз компьютере и завелся очень интересный вирь. Симптомы вполне знакомые: при подключении сети примерно через полминуты начиналась массовая рассылка спама по 25 порту на разные адреса (поле subj как правило было по русски, надо заметить)...
Symantec на эту активность справедливо отреагировал кучей окошек с сообщением о том что наши письма не были отправлены, потому что они есть spam...
А далее началось самое интересное...
Комп был проверен KAV6 LiveCD, были удалены вирусы Trojan.Win32.Agent.? (не помню индекс, кажется .c) и обычно сопутствующие Trojan Dropper и какие-то ещё мелкие adware и вирусы, всего числом около 12... Проверили 2 раза! (с перезагрузкой после 1-го раза).
Только это ситацию не изменило - спам как сыпался, так и продолжал сыпаться...

Скажу сразу что за этим компом я провел почти 2 суток...
Были использованы помимо KAV и Symantec : McAfee Antivirus, NOD32, BitDefender, AVZ, HijackThis, DrWeb (последняя beta), eTrust PestPatrol, Ad-Aware 2007, SpyBot S&D, Anvir, Avira, MS Antiworm (KB890830), Panda Platinum, Avast, Outpost Pro, CurrPorts, flister, svv, ...
Ни одна из перечисленных программ не смогла обнаружить спам-бота...
До других руки не дошли ибо мозг уже кипел...
Все антивирусы и антиспаи были максимально новыми (насколько удалось найти в интернете )
Решение пришло после использования утилитки MODGREPER v0.3 - она показала что ntoskrnl.exe является rootkit.

Теперь симптомы которые удалось вычислить при помощи всех этих утилит:
вирус активируется при подключении сети, после чего начинает ломиться процессом explorer.exe на checkip.dyndns.org, а затем на prevedltd.net и подобные сайты, после чего начинает активно слать спам...
в папке system32 появляются файлы ntkrnlpa.exe и ntkrnlpm.exe нулевой длинны, и различные файлы с "сомнительными" именами и расширениями .exe и .tmp в папках Windows, system32 и корне диска C.
Самое интересное чем сильнее пытаешься его вылечить, тем сильнее он шифруется... Оные файлы каждый раз разные и в разных местах...

Кончилась же эта эпопея после того как были вычищены ВСЕ возможные временные файлы (KAV6 LiveCD+TotalCommander+руки) и заменены с оного LiveCD файлы explorer.exe, iexplore.exe, svchost.exe, ntoskrnl.exe...
Вся активность вируса исчезла и вот уже месяц как комп под наблюдением и ведет себя тихо и спокойно =)

А написать я это всё решил после того как на днях столкнулся с тем же вирусом при похожей конфигурации - XP SP2 + Symantec 10.1.6000...
В этот раз лечение было более быстрым - очистка всех временных и подозрительных файлов, включая удаление папок System Volume Information и RECYCLER, 2 прогонки харда при помощи KAV6 LiveCD (перезагрузка после 1-го!!!) с последующей перезаписью файлов svchost.exe и ntoskrnl.exe...
Сначала пробовал не перезаписывать ntoskrnl.exe - результатом было то, что вирус опять откуда-то вылез... Пришлось всё сначала начинать...
Система в данный момент работает и признаков того вируса не проявляет...

Удачного лечения =)

Этой малваре уже сто лет в обед.

Замечательно
Тогда может быть Вы в курсе, почему её до сих пор не находит ни один из перечисленных антивирей/антиспайев (в т.ч. KAV6) и нигде нет описания методов борьбы с ней?
Или я плохо искал? Google, Yandex и этот форум были перекопаны весьма обстоятельно...

Впрочем я догадываюсь...
Если ещё раз попадётся - обязательно постараюсь прислать зараженные файлы в Лабораторию Касперского =)
Вот только как мне сделать так чтоб она не расползлась по другим компьютерам? Я на своём компе такую штуку иметь совершенно не хочу =)
А может быть Вы даже знаете кто её написал? Я и весь наш IT отдел с удовольствием наведался бы к этому "персонажу" и открутил ему руки =))))

Вы могли бы с таким же успехом получить этот ответ от AVZ...

MODGREPER - тул от Joanna Rutkowska. Она уже годами специализируется в невидимом...
http://www.invisiblethings.org/tools.html

Paul

1. Мог, но не получил... Ни один из перечисленых (я забыл ещё a-squared упомянуть) антивирусов и анти-спайев НЕ НАШЕЛ этот руткит! В т.ч. и AVZ. Я облазил большое количество форумов и на той машине НЕ было файлов
C:\Program Files\Common Files\dbmmgr32.dll
C:\WINDOWS\1.exe
С:\WINDOWS\2.exe
yatool.dll
winload.dll
winccf32.dll
tmp_0ha.dll
AVZ вообще не нашёл ничего подозрительного после прогона KAV LiveCD
Тем не менее спам продолжал сыпаться... =(

2. Спасибо, именно там я эту тулзу и нашел... =)
Кроме ModGreper этот руткит не увидел никто =( В том числе остальные тулзы на сайте Джоанны...

Насколько я понял, данную тварь ntoskrnl.exe лечит KIS7.0, триал-версия, Доктор Веб 4.44.

В логах AVZ его замечательно видно. Добавок к ней файлик примерно с таким же названием, но буква "a" на конце.

Ну я тоже сумбурно, спрошу, с вашего позволения...
KAV6 LiveCD - а почему 6? Ведь уже давно доступна 7 с ее очччень хорошей проактивкой..

Понимаете, просто трудно даже фантазировать почему КИС не нашел руткит, если использовалась устаревшая версия продукта...

DrWEB 4.44 на тот момент был только beta - он его не нашел
AVZ v4.27 (на тот момент) его не обнаружил =(
KIS7 не смог найти, а в полноценности триала я не уверен =)

Естественно, AVZ ничего не нашел: ведь вы делали обычное сканирование, а не исследование системы.

Господа, поймите меня правильно! Я не пытаюсь принизить ваши знания или качество продуктов Kaspersky Lab или других антивирусных лабораторий, я ни кого не упрекаю и не предъявляю претензий...
Я лишь рассказал о своем опыте - вдруг кому пригодится =)))
Насколько я знаю, модификаций оного виря достаточно много и никакого полноценного описания того, как можно победить именно ЭТУ модификацию я отрыть тогда не смог, вот и решил написать маленькое руководство по борьбе с этой заразой...
Вобщем-то я добился именно того, чего хотел =) - при поиске в Google по ключевому слову "prevedltd" среди прочих высвечивается и ссылка на эту страницу форума, а значит кто-то, кто столкнется с данной проблемой потеряет меньше времени =)

Версии антивирусов я использовал те, которые были мне доступны в тот момент...
Если ещё раз наткнусь - попробую использовать KIS7 - по результатам отпишусь...
Вы тоже пишите, если будет такой опыт =)

Эээ... Прошу прощения, если Вы имеете ввиду пункт меню "исследование системы", то именно его я и делал...
И очень внимательно потом изучал отчёт... А так же устанавливал AVZPM и включал AVZGUARD...
Возможно я и пропустил что-то, но как я уже написал - мозг уже кипел =)))
Я не профи в ловле вирусов, я простой специалист техподдержки

Вот об этом и речь. AVZ - профессиональный инструмент и не предназначен для самолечения; вам нужно было обратиться к автору программы или на упоминаемый в протоколах AVZ ресурс virusinfo.info.

Понял, буду иметь ввиду...
Только в том случае я не мог выслать логи из соображений безопасности... Я об этом уже писал...

Я думаю тему можно закрыть...
Только если можно ее поднять хоть на недельку, чтоб в поисковиках закешировалась...

Тема никуда не денется, не волнуйтесь. Ваш опыт непременно пригодится кому-либо.

Меня уже 2 месяца мучает подобная проблема. Exporer.exe постоянно лезет на сайт chekip.dydns.org! Самые новые лицензионные Dr.Web и Kasperky ничего не обнаруживают! Что делать, не знаю.. Что именно нужно зделать, чтоб от него избавится ??

Это какой-то спам-троян. Выполните правила и создайте новый, собственный, топик.
P.S.: адрес: cheсkip.dydns.org.

Paul