Поймал Email Proxy

[Demonoid]

Добрый день! Поймал спам рассыльщика. Symantec AntiVirus стал выдавать окно Email Proxy и стали отправляться сами письма. Проверял разными антивирусами они нашли по мелочам но избавится так и не смог от Email Proxy. Хотел попросить вашего совета. Файлы прикрепляю.

[zerocorporated]

1.В avz выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\SIODRV.SYS','');
 QuarantineFile('\SystemRoot\System32\Drivers\SYMTDI.SYS','');
 QuarantineFile('system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe');
AutoFixSPI;
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 правил

[V_Bond]

выполните скрипт ...

Код:

begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.

[Demonoid]

Огромное спасибо за быстрый ответ, но после чистки многими антивирусами система начала рассыпаться, поэтому я откатил из бэкапа к тому с чего начинал и сделал новые архивы. Да вот еще вызвал подозрение файл svchost.exe по размеру, подписи и дате создания 4 августа 2004 все нормально, а вот дата изменения совпадает с датой когда начались проблемы это 10 октября 2007. Буду благодарен за рекомендации по новым архивам.

[drongo]

1.Пофиксить ( hijack this )

Код:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe

2.В avz выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak');
BC_DeleteSvc('FCI');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
 ExecuteRepair(9);
RebootWindows(true);
end.

3. Временные файлы почистить , и сделать новые логи.
карантин прислать по ссылке в шапке .

[Demonoid]

drongo
Сделал все как ты написал. Новые логии прикрепляю и карантин отправляю.
Спасибо.

[rubin]

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\NavLogon.dll','');
 BC_ImportQuarantineList;
 BC_QrFile('C:\WINDOWS\system32\msdnc8.exe');
 BC_DeleteFile('C:\WINDOWS\system32\msdnc8.exe');
 BC_QrSvc('lanmanworkstationclr_optimization_v2.0.50727_32');
 BC_DeleteSvc('lanmanworkstationclr_optimization_v2.0.50727_32');
 BC_Activate;
 RebootWindows(true);
end.

Карантин пришлите опять...

Добавлено через 4 минуты

Из карантина:
not-a-virus:AdWare.Win32.BHO.kj C:\Program Files\ConnectionServices\ConnectionServices.dll
not-a-virus:AdWare.Win32.BHO.qs C:\Program Files\ConnectionServices\ConnectionServices.dll.ba k

[Demonoid]

rubin
Спасибо за помощь. Карантин выслал.

[rubin]

Файлик чистый. Проблемы остались?

[Demonoid]

rubin
Спасибо большое вам за помощь и всем остальным. Но пока ответить не могу т к комп не подключен к инету. Как подключу то отпишусь.

[rubin]

>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Что из этого Вам не нужно?

[Demonoid]

rubin
Комп не мой. Попросили помочь. Я так думаю что это можно все отключить.

[rubin]

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

[Demonoid]

Всем огромное спасибо. Вроде как второй день нет исходящей почты самой по себе.

[rubin]

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[Demonoid]

rubin
Спасибо вам за совет. А сбор должен происходить по каким-то правилам, на любой машине или которая лечилась???

[rubin]

На любой, нам важны сами собранные файлы для улучшения AVZ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 25
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
  2. c:\\program files\\connectionservices\\connectionservices.dll. bak - Trojan.Win32.ConnectionServices.j (DrWEB: Trojan.BitAcc)