Добрый день. Заметил, что с моего компа генерится большое количество исходящего траффика. Заглянул в аутпост, вроде траф генерит один из процессов svchost.exe, по протоколу SMTP, судя по всему спам рассылает.
Поймать заразу при помощи касперского с последними обновлениями и при помощи DrWeb CureIT (как написано в правилах) мне не удалось.
Возможно это чем-то поможет, прикладываю логи полной проверки Касперским:
удалено: троянская программа Trojan-Proxy.Win32.Xorpix.ba Файл: C:\DOCUMENTS AND SETTINGS\ALL USERS\Документы\SETTINGS\WINSYS2F.DLL//UPack
удалено: троянская программа Trojan-Proxy.Win32.Xorpix.m Файл: C:\WINDOWS\SYSTEM32\A3DXQ.DLL
удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE
удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\System Volume Information\_restore{F9320ABB-07A1-434B-A556-12C4AFCC2E66}\RP652\A0131768.EXE
удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\WINDOWS\Temp\win355.tmp
удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\WINDOWS\Temp\win6040.tmp
удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: C:\Documents and Settings\Администратор\Мои документы\Educate(Оля)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
удалено: троянская программа Trojan.Win32.Small.mi Файл: C:\FOUND.009\FILE0000.CHK
удалено: вирус Email-Worm.Win32.Zhelatin.bj Файл: C:\Temp\temp.fr8888
удалено: троянская программа Trojan-Dropper.Win32.Agent.bah Файл: C:\Temp\qvxt4.game//ASPack
удалено: вирус Packed.Win32.Tibs.y Файл: C:\FOUND.009\FILE0004.CHK
удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: E:\Install\Documents and Settings\Мои документы\Educate(Ольга)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: G:\Documents and Settings\Администратор\Мои документы\Educate(Оля)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
не найдено: троянская программа Trojan-Proxy.Win32.Xorpix.ba Файл: c:\documents and settings\all users\Документы\settings\winsys2f.dll//UPack
Т.е. он поудалял всяких троянов, но спам при этом не прекратился.
Очень надеюсь на Вашу помощь. Логи прилагаю к теме.
Заранее спасибо.
P.S. При попытке загрузки обновлений avz выдавалась ошибка, поэтому запускал скрипты без обновлений, прямо в той версии, что выложена в инструкции.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки прислать карантин через форму (ссылка, также прикрепить boot_clr.log из директории AVZ.
Желательно провериться Cure-It от Dr.Web в безопасном режиме.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
В HJ пофиксил, логи AVZ прикладываю к сообщению. На всякий случай еще карантин приложил. Спам вроде прекратился.
Есть еще пара вопросов:
1) Эта зараза, что водится на моем компе в состоянии воровать конфиденциальные данные? - В моем случае это очень актуально.
2) Есть ли у форума какой-то фонд, куда можно скинуть 10-20 WMZ в знак благодарности?
Последний раз редактировалось Макcим; 29.05.2007 в 22:44.
После перезагрузки загрузить карантин, если в нем будут файлы с расширением dta и dat. Это можно посмотреть в АВЗ. Ну, не нравяться мне ехе-файлы с такими названиями.
Карантин грузить через ссылку вверху темы.
Про кражу конфедин. и-ции пока сказать не могу, т.к. не знаю имен зловредов, обнаруженных у Вас.
Поблагодарить конечно можно. Есть тема, где-то внизу. Рановато это, сначала вылечимся, а потом благодарности.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Эта зараза, что водится на моем компе в состоянии воровать конфиденциальные данные?
удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: E:\Install\Documents and Settings\Мои документы\Educate(Ольга)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: G:\Documents and Settings\Администратор\Мои документы\Educate(Оля)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
Backdoor может способствовать получению конфеденциальной информации злоумышленником.
К сожалению, в карантине пусто. Загрузитесь через F8 (Safe Mode) и посмотрите наличие ехе-файлов в System32 (дурные имена смотри в скрипте).
Результаты отпишите.
Можно еще разок сделать лог Hijackthis. Посмотрим, что осталось.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: