-
Junior Member
- Вес репутации
- 60
Помогите вирус рассылает множество сообщений по smtp
Есть две рабочие станции с которых постоянно, но с периодичностью сыпется огромное количество smtp сообщений, при этои обнаружена активность svhost, на вашем форуме на страничке http://forum.kaspersky.com/index.php?showtopic=49540 нашел похожую ситуацию, так как removeit pro смогла найти msdnc3.exe, но удалит не смогла, пришлость удалить как вы сказали при помощи скрипта в avz, сделал это на обоих рабочих станциях создал quarantin, который прислал вам, вроде перестало но потом опять восстановилось и содной и другой машины, что делать не знаю, так как снял винт проверил на другой машине ничего не нашла, переуствновить не дают систему< придется лечить что делать, help crochno
Добавил новое сообщение помогите
Последний раз редактировалось tennisprof; 26.10.2007 в 16:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вопрос : вы правила читали ? По моему нет
-
-
Junior Member
- Вес репутации
- 60
Помогите!!!!
Да вы правы, теперь прочитал и отсылаю все необходимое, а именно данные с двух рабочих станций,
Помогите пожалуйста ....
Последний раз редактировалось tennisprof; 26.10.2007 в 19:11.
-
Junior Member
- Вес репутации
- 60
Добавил необходимую информацию с форума
-
Скажите честно Вы понимаете как нам теперь писать скрипты?
Буду писать только для одной. Вторую будем лечить в другой теме.
11.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\fci.exe','');
BC_QrFile('C:\WINDOWS\system32\fci.exe');
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13572
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Я сделал для данных без единички hijackthis, .....Сейчас пришлю карантин, спасибо
Добавлено через 20 минут
На рабочей станции где был fci сделал скпирт выполнил, карантин отослал
Добавлено через 16 минут
А новую тему не дает создать и прислать сообщения по поводу другой рабочей станции
Добавлено через 2 минуты
Но кстати на той машине файл в System32 fci.exe остался может этим скриптом вы его поfixeli или он должен был удалиться
Последний раз редактировалось tennisprof; 26.10.2007 в 17:39.
Причина: Добавлено
-
Файл не удалял. Удалил только сервис.
Карантин надо загрузить.
если бы базы AVZ были обновлены, то она сама бы справилась
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
А что значит, карантин надо загрузить, да у меня сейчас в карантине два этих файла, так и должно быть! А что с другой рабочей станцией я не могу создать новую тему, так как она (Имеется ввиду ПО загрузки файлов) мне не позволяет загрузить необходимую информацию.
Добавлено через 3 минуты
TCP Х.Х.Х.37:445 Х.Х.Х.56:1306 ESTABLISHED
А почему у меня в netstat -an на Х.Х.Х.37 висит такой процесс и именно с той рабочей станции на которой тоже отпрвляет по smtp (Х.Х.Х.56), единственное у них общий ресурс, может из-за этого, это нормально!
Последний раз редактировалось tennisprof; 26.10.2007 в 18:01.
Причина: Добавлено
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Да я вроде сделал, что написано в приложении 3, я только не понял надо мне теперь что-то делать на рабочей станции, потому что карантин я прислал, а fix не проводил
Добавлено через 2 минуты
Потому что мне кажется, что наибоолее активная станция именно 2-рая, то есть файлы с префиксом 1, но только я еще раз не понял с первой я закончил или нет,
Последний раз редактировалось tennisprof; 26.10.2007 в 18:14.
Причина: Добавлено
-
C:\WINDOWS\system32\fci.exe - Trojan.Inject.412(Др.Веб),Trojan.Win32.Agent.bow(К асперский)
Будем удалять.
чтобы логи другой машины прикрепить к другой теме, надо их отсюда удалить через "Мой кабинет"
Добавлено через 2 минуты
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\fci.exe');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\fci.exe ');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать логи с этой машины.
Последний раз редактировалось PavelA; 26.10.2007 в 18:25.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
сделал, блин файлов много из=за этого так долго, сори
Последний раз редактировалось tennisprof; 26.10.2007 в 20:20.
-
удалите временные интернет файлы ... в логах чисто ....
-
-
Junior Member
- Вес репутации
- 60