Через меня идет спам-трафик.

**Numb** · 18.07.2007, 02:22

Странно. runtime2.sys виден в списке драйверов, как неактивный драйвер. По приметам он - и есть тот спамбот, который периодически начинает рассылать почту с вашей машины. Но что провоцирует его активность - непонятно. На вопрос по поводу программ от citrix вы не ответили - используются они как-то на данной машине? Все-таки, попробуйте так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\drivers\asc3550u.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\asc3550u.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\asc3550u.sys'); 
 DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys');
 BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
 bc_deletesvc('runtime2');
 bc_deletesvc('asc3550u');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Машина будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и повторите логи, включая и логи, предложенные здесь и, в дополнение, прикрепите лог boot_clr.log из директории AVZ.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Аксель** · 20.07.2007, 14:48

Высылаю логи. Карантин, как я уже говорил, не интересен (там только ТоталКоммандер.ВАК)

Цитрикса не было и нет.

Пердложенные для фиксации интернет соединения скрипты еще не выполнял, как сделаю сообщу дополнительно.

**Аксель** · 20.07.2007, 14:57

Скрип (14) помог. Ура! Пишу из горящего танка (зачеркнуто) со своего компьютера.

**Numb** · 20.07.2007, 15:46

Уже хорошо. В логах я ничего активно-подозрительного не вижу - будем надеяться, что победили спамбота.

Delete Service & File runtime2 - succeeded

А вы говорили, что его нет

Просьба к другим хелперам - посмотрите логи по теме, пожалуйста.

**PavelA** · 20.07.2007, 18:59

В логах чисто. Единственный вопрос к выздаравливающему: Policy на IE сами устанавливали? Если ответ нет, то надо профиксить строчку:

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

**Аксель** · 23.07.2007, 14:21

Policy не трогал. Строчку пофиксил.

Всем большое спасибо, проблем больше нет.

з.ы. Странно, что "покойный" runtime2 не засветился в карантине.

**CyberHelper** · 22.02.2009, 02:02

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения вредоносные программы в карантинах не обнаружены

Через меня идет спам-трафик. (заявка № 11110)

Опции темы

Итог лечения

Похожие темы

Проблемы с интернетом, от меня идет спам

ICQ, одноклассники от меня идет спам.

Куда-то идет трафик

С меня идет спам

идет спам через 25 порт

Ваши права в разделе