Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Через меня идет спам-трафик. (заявка № 11110)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35

    Thumbs up Через меня идет спам-трафик.

    Добрый день.

    Эту тему я уже поднимал на avast.ru, но ребята не смогли мне помочь.

    Windows XP SP2 (build 2002)
    Avast 4.7 Home (4.7.1001)
    VPS 000757-2
    Firewall - сейчас Комодо (на момент обнаружения проблемы не было ничего)

    Повторюсь: "Три дня назад обратил внимание на значек АвастМейлСканера в трее, он усиленно проверял исходящую почту. Почту я не отправлял и это было подозрительно. Посмотрел в лог и - мама-мия!!! Тонны спама!

    Были запущены Аваст и АВЗ - результат нулевой."

    Спам уходит в виде пакетов ICMP Type:3 Code:3

    Также при каждом соединении svchost желает отправить UDP пакет для: 239.255.255.250::upnp-mcast(1900)

    Рассылка спама происходит не при каждом соединении, а по получении неких управляющих пакетов.

    Через несколько минут приделаю логи.

    ................. готово.
    Вложения Вложения
    Последний раз редактировалось Аксель; 17.07.2007 в 17:02.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Drivers\Parport.SYS','');
    QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\OAARXRUC.exe','');
    DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\OAARXRUC.exe');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=11110 , как написано в прил.3 правил , и сделайте новые логи, начиная с п. 10 правил. Попутно вопросы: видны симантек и аваст - кто из них живой?

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    От Симантека потроха SystemWorks (СпидДиск, ВинДоктор).
    SymAntiVirus не ставил, т.е. живет только Аваст.

    Добавлено через 15 минут
    Цитата Сообщение от Numb Посмотреть сообщение
    :\DOCUME~1\9335~1\LOCALS~1\Temp\OAARXRUC.exe')
    Я на 100% уверен, что этот файл появился сегодня, после запуска утилит с Sysinternals. Вряд ли он имеет отношение к существующей проблеме...

    Еще, вопрос: Второй раз скрипты можно выполнять не выгружая Антивирус и Файервол?
    Последний раз редактировалось Аксель; 17.07.2007 в 17:49. Причина: Добавлено сообщение

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Можно, но лучше выгрузить - логи получаются меньше, их легче читать. Карантин дошел. OAARXRUC.exe оказался от rootkit revealer-а от sysinternals - ваша правда Тогда просьба: дополнительно к логу исследования системы и логу hijackthis, сделайте логи, которые описаны здесь - http://virusinfo.info/showthread.php?t=10387 В безопасном режиме при этом перезагружаться необязательно.

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    Получите.
    Вложения Вложения
    • Тип файла: zip LOG.zip (28.6 Кб, 5 просмотров)

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
    end.
    "Пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Пришлите файлы карантина по правилам раздела "Помогите". Сделайте логи с запущенным Internet Explorer. Какой почтовой программой пользуетесь?

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от Maxim Посмотреть сообщение
    Какой почтовой программой пользуетесь?
    GMail.com

    Сделал все, как вы сказали. АнтиВирус и Файрвол отключены, запущен Макстон. (Да, еще "висел" ПроцессЭксплорер).

    Странно... Вот уже добрых 4 часа никакого исходящего трафика! Мистика!
    Вложения Вложения

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от Аксель Посмотреть сообщение
    GMail.com
    У них есть фирменная программа?

  10. #9
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от Maxim Посмотреть сообщение
    У них есть фирменная программа?
    Нет. Я имел в виду, что пользуюсь он-лайн сервисом.

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от Аксель Посмотреть сообщение
    Я имел в виду, что пользуюсь он-лайн сервисом.
    Как-то не состыковывается с
    Цитата Сообщение от Аксель Посмотреть сообщение
    Повторюсь: "Три дня назад обратил внимание на значек АвастМейлСканера в трее, он усиленно проверял исходящую почту. Почту я не отправлял и это было подозрительно. Посмотрел в лог и - мама-мия!!! Тонны спама!
    Кто тогда спам отправлял?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Спамботу клиенты не нужны. А вот как АвастМейлСканер проверяет трафик web-сайта GMail.com - это большой секрет той маленькой компании.

  13. #12
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от pig Посмотреть сообщение
    Спамботу клиенты не нужны. А вот как АвастМейлСканер проверяет трафик web-сайта GMail.com - это большой секрет той маленькой компании.
    Намекаете на проверку SSL? Спамбот мог отправлять через любой другой ящик.

  14. #13
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    Точно не я. Бот наверное...

    Поясню:

    Периодически, при подключении к интернету, включается сканер почты Аваста.

    Всплывающее информационное окошко показывает почтовые пакеты, уходящие по разным адресам (от А до Z), с заголовками призывающими купить средства для увеличения [BLOCKED] (в основном) или Виагру.

    Резко падает скорость соединения и исходящий трафик увеличивеатся вдвое по сравнению с входящим.
    Последний раз редактировалось Макcим; 17.07.2007 в 20:41.

  15. #14
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Поаккуратней с терминологией. Форум могут читать дети.

  16. #15
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    Ok.

  17. #16
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Присланный файл чистый. Можно считать проблему решенной?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Не решена проблема - похоже, видно заразу Пожалуйста, сделайте следующее: на время выполнения скрипта, отключитесь от сети, отключите монитор avast!-а и восстановление системы. Далее: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime2.sys','');
     QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки, пришлите содержимое карантина, как написано в прил. 3 правил. После сервиса от sysinternals боюсь удалять сразу, но на 90% это тот зверь , который и предлагает удлиннить *censored* . Вдобавок, еще вопрос: на машине были когда-нибудь установлены какие нибудь программы от Citrix Systems ?
    Последний раз редактировалось Numb; 18.07.2007 в 00:34.

  19. #18
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    Отправил.

    Но мне кажется, что при выполнении скрипта, произошли какие-то проблемы.

  20. #19
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Мне тоже так кажется. Ни какого runtime2.sys я в логах не нахожу.

  21. #20
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    12
    Вес репутации
    35
    При выполнении скрипта, в окне исполнения процесса, были видны "ругательства" АВЗ. Но все происходило так быстро, что детально рассмотреть информацию не представлялось возможным.

    Вопрос: Найти средствами АВЗ и отправить искомый файл можно?

    Добавлено через 2 минуты
    Собственно, попробовал найти runtime2.sys, при помощи АВЗ - результат нулевой.
    Последний раз редактировалось Аксель; 18.07.2007 в 01:12. Причина: Добавлено сообщение

  • Уважаемый(ая) Аксель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблемы с интернетом, от меня идет спам
      От Ironiya в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 05.09.2010, 12:23
    2. ICQ, одноклассники от меня идет спам.
      От Spaun_Irk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2010, 12:46
    3. Куда-то идет трафик
      От Boring в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.12.2009, 20:23
    4. С меня идет спам
      От kivan33 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.11.2009, 21:55
    5. идет спам через 25 порт
      От Dron696 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.06.2008, 17:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00712 seconds with 22 queries