-
Junior Member
- Вес репутации
- 61
вирус рассылает спам или еще что-то
Здравствуйте. Случилась беда. На комп заскочил вирус. Симптомы следующие.
При подключении к инету антивирус Symatec постоянно выбрасывает окно о
каком то сообщении по e-mail переданным мной и не нашедшего адресата.
Частота с которой он посылает это сообщение довольно шустрое, так что мешает даже печатать этот текст.
Посмотрел в проге AVZ открытые порты и увидел, что при подключении к инету открываются жутко много портов. Лог могу прислать, если надо.
Прогонял антивирусом и пробовал AVZ . Все остается по прежнему.
Сам во всем этом не разберусь. Прошу Вашей помощи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксить:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://searchbar.findthewebsiteyouneed.com
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\system32\azesearch4.ocx (file missing)
O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\system32\azesearch4.ocx (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\23A4~1\LOCALS~1\Temp\winlogon.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} -
http://www.azebar.com/install/azesearch.cab
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
2. Выполните скрипт:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\azesearch4.ocx','');
QuarantineFile('C:\PROGRA~1\HIDOWN~1\hidownload.exe','');
BC_DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
BC_DeleteFile('protect.sys');
BC_DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\azesearch4.ocx');
BC_DeleteFile('C:\PROGRA~1\HIDOWN~1\hidownload.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось Alex_Goodwin; 04.09.2007 в 23:04.
-
-
Проверьте компьютер утилитой СureIt ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Слишком много явных зловредов
Последний раз редактировалось AndreyKa; 04.09.2007 в 23:06.
-
-
-
-
Junior Member
- Вес репутации
- 61
Спасибо, всем кто принял участие.
Результаты следующие.
После того, как я профиксил и исполнил скрипт нежелательная активность в сети еще была. Загрузил cureit-beta. Произвел проверку.
Было найдено два трояна. Перезагрузился. Снова ввел скрипты в программе avz. Логи отсылаю, как в первый раз. По логам смотрю остался троян Backdoor.Win32 Rbot.abl. Чем его удалить не знаю. Но после всех операций посторонней актвности не замечаю. Хотя у меня сейчас отключен антивирус.
Вопрос мимоходом. Когда программа avz проверяет систему, то почему в пункте поиск открытых портов - отключено пользователем. Как включить, я специально не отключал.
В пункте поиск потенциальных уязвимостей, как все поотключать.
Я всегда пользовался антивирусом Symantec, Как на ваш взгляд стоит ли менять его. Закаченный Cureit доктора webа можно ли использовать в качестве антивируса или он как дополнение.
Можно ли использовать на одном компьютере сразу два антивируса.
Спасибо за советы, чтобы я без вас делал.
С уважением.
-
1. Карантин пришлите. И старый и новый..
2. Антивирус поменять стоит, куреит как постоянный антивирус использовать нельзя - там нет монитора. Два антивируса на одном компьютере использовать нельзя.
3.Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
DelCLSID('{F4FBA929-A891-492C-A0F6-5C79CC4F1742}');
QuarantineFile('fsh.sys','');
BC_DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\PROGRA~1\HIDOWN~1\hidownload.exe');
DeleteFile('C:\PROGRA~1\HIDOWN~1\hidownload.exe');
BC_DeleteSvc('FCI');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксить:
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\23A4~1\LOCALS~1\Temp\winlogon.exe
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe (file missing)
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
Последний раз редактировалось Alex_Goodwin; 05.09.2007 в 01:06.
-
-
Junior Member
- Вес репутации
- 61
Что то я с карантином ни как разобраться не могу.
В папке карантин есть две подпапки 2007-09-04 и 2007-09-05
Каждая папка объемом около 49 Мб. В ней есть файлы .dta и .ini нумерованные. Судя по всему файл с большим номером соответствует последнему сканированию. Посылаю avz00008 и avz00009. Седьмой даже в архивированном виде занимает 5.2 Мб.
Выполнил скрипт, профиксил. Результаты в логах. Кстати, не знаю Хорошо или плохо, но профиксить удалось только строку 09. Остальных строк не было.
Последний раз редактировалось pig; 05.09.2007 в 12:54.
Причина: Удалил карантины
-
Карантин нужно присылать по ссылке,а не прикреплять к теме! http://virusinfo.info/upload_virus.php?tid=12187
-
-
Junior Member
- Вес репутации
- 61
Прошу прощения не дочитал
Отослал 4 последних файла карантина.
Хочу убрать Symantec и поставить NOD32.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-