Показано с 1 по 11 из 11.

Explorer отправляет спам и лезет на прокси (заявка № 10155)

  1. #1
    Junior Member Репутация
    Регистрация
    02.06.2007
    Сообщений
    4
    Вес репутации
    35

    Thumbs up Explorer отправляет спам и лезет на прокси

    Здравствуйте.

    Уже несколько дней пытаюсь справиться с вирусом, живучий какой то оказался. Увидел в логах файрвола как проводник ломится в интернет на какие-то сайты и SMTP-серверы.

    После загрузки системы создаются 2 файла на диске С: вида cdXXXX.nls и присоединяются к проводнику как модули. Если нажать в avz "Принудительно выгрузить dll" то после вылета и повторной загрузки проводника файлы создаются снова, даже в безопасном режиме. В памяти постоянно висят как "модули пространства ядра" dump_atapi.sys и dump_WMILIB.sys, причем на диске их нигде нет.

    Помогите пожалуйста с ними справится.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\winsock32.dll','');
     QuarantineFile('c:\cd2274.nls','');
     QuarantineFile('c:\cd1794.nls','');
     DeleteFile('c:\cd1794.nls');
     DeleteFile('c:\cd2274.nls');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {0B90AA1B-F649-44C3-9FD3-736C332CBBCF} - (no file)
    O2 - BHO: (no name) - {F34EA099-67D1-40c7-97A0-74E4C663E8DC} - (no file)
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O15 - Trusted IP range: 66.199.247.202
    O16 - DPF: {10000000-1000-0000-1000-000000000000} -
    O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} - 
    O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} - 
    O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} - 
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} -
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    02.06.2007
    Сообщений
    4
    Вес репутации
    35
    Скрипт выполнил, все пофиксил.
    Вложения Вложения

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteFile('c:\cd1201.nls');
     BC_DeleteFile('c:\cd1446.nls');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Скачайте утилиту по этой ссылке: Вложение 10580.
    2. Перезагрузитесь в безопасный режим.
    3. Запустите скачанную утилиту и нажмите кнопку Patch.
    4. Выполните скрипт MaXim'a в предыдущем сообщении.
    5. Сделайте новые логи.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    02.06.2007
    Сообщений
    4
    Вес репутации
    35
    Все выполнил, *.nls больше не цепляются, но зверята dump_atapi и dump_WMILIB остались. Явно с ними что-то не то, раз даже на диске таких файлов нет...
    Вложения Вложения

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Спамбота мы с вами уничтожили, и это главное
    Проблема по идее должна исчезнуть.

    По поводу dump_atapi и dump_WMILIB не беспокойтесь, это легитимные модули, они есть у всех и опасности не представляют.

    Надеюсь, вам известно назначение вот этих программ? -
    Код:
    O4 - HKLM\..\Run: [wline] C:\Program Files\wline\InetAccess.exe
    O4 - HKLM\..\Run: [JP Loader] C:\Программы\Запуск программ\1.0\Loader.exe
    O4 - HKLM\..\Run: [Jet Programs Ringer] C:\vb98\Ringer\ringer.exe
    если нет - будем разбираться.

    Еще AVZ находит кучу подозрительных вещей в папках:
    C:\VB98
    C:\Программы
    но я так понял, это ваши собственные забавы.

    Более ничего криминального в логах нет.

    P.S. Я бы еще вот эти службы выключил (если не используете):
    Код:
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
    P.P.S. Ах да, чуть не забыл! Вам необходимо срочно исправить это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    т.е. поставить SP2 + последующие обновления Windows,
    иначе ваша система - решето.
    Последний раз редактировалось Bratez; 04.06.2007 в 11:00.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    02.06.2007
    Сообщений
    4
    Вес репутации
    35
    Да, большое спасибо, проблемы исчезли.

    Надеюсь, вам известно назначение вот этих программ? -
    Да, первая предоставлена провайдером для доступа в интернет, остальные две собственного написания.

    Еще AVZ находит кучу подозрительных вещей в папках:
    C:\VB98
    C:\Программы
    но я так понял, это ваши собственные забавы.
    Да, это мои программы, странно что AVZ они не нравятся, ничего криминального в них нет

    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Уже обновляю.
    Интересно как после загрузки всех обновлений систему заставить работать, а то когда то давно скачал обновление, а мне система пишет "Осталось 30 дней до активации" . С тех пор и не обновлял ничего...

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    когда то давно скачал обновление, а мне система пишет "Осталось 30 дней до активации" . С тех пор и не обновлял ничего...
    Да, мне следовало вас предупредить, просто в логах не видно, что винда крякнутая... После установки SP2 потребуется повторная активация.
    I am not young enough to know everything...

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 62
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\cd1794.nls - Trojan-Proxy.Win32.Pixoliz.lo (DrWEB: Trojan.Spambot)
      2. c:\\cd2274.nls - Trojan-Proxy.Win32.Pixoliz.lo (DrWEB: Trojan.Spambot)
      3. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Agent.x (DrWEB: Trojan.Spambot)


  • Уважаемый(ая) ComCon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 02.11.2010, 22:05
    2. Explorer.exe лезет на рекламные сайты
      От alkom в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 26.12.2009, 13:07
    3. svchost.exe отправляет спам. хелп!
      От Banzai в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:25
    4. Ответов: 12
      Последнее сообщение: 22.02.2009, 02:22
    5. при загрузке explorer сразу лезет в сеть.
      От Николай в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01198 seconds with 22 queries