Показано с 1 по 9 из 9.

svchost.exe отправляет спам. хелп! (заявка № 16416)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    7
    Вес репутации
    33

    Thumbs up svchost.exe отправляет спам. хелп!

    Вот вчера подхватил вирус. теперь куча трафика идет посмотрев в различных мониторах вижу как svchost.exe создает кучу подключений по смтп все испробовал последняя надежда на вас.

    Логи приложил
    Вложения Вложения

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключите восстановление системы.

    Удалите BitAccelerator и ConnectionServices - это AdvWare.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('protect', 4);
     QuarantineFile('c:\windows\system32\kmdevmonsrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\c++.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\fci.exe','');
     QuarantineFile('d:\pos\loy\isen3.exe','');
     QuarantineFile('C:\WINDOWS\system32\w32sys5.exe','');
     DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
     DeleteFile('C:\WINDOWS\system32\c++.exe');
     DeleteFile('C:\WINDOWS\system32\w32sys5.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('FCI');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16416

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c++.exe,
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    7
    Вес репутации
    33
    спасибо за такой оперативный ответ, завтра в офисе попробую все сделать.

    d:\pos\loy\isen3.exe это нужная программа

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Цитата Сообщение от Banzai Посмотреть сообщение
    d:\pos\loy\isen3.exe это нужная программа
    Так с ней ничего и не будет, просто хотим в карантине семпл получить. Кстати зачем она не знаю.

  6. #5
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    7
    Вес репутации
    33
    это программа для работы с базой скидок.

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Если так уверенны то в скрипте удалите строчку QuarantineFile('d:\pos\loy\isen3.exe',''); и всё. Выполняйте без неё.

  8. #7
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    7
    Вес репутации
    33
    Все сделал, повторяю логи
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В логах все нормально.
    ConnectionServices только забыли деинсталлировать.

    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    >> Безопасность: разрешен автоматический вход в систему
    Лишнее отключим.
    I am not young enough to know everything...

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,561
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
      2. c:\\windows\\system32\\fci.exe - Trojan.Win32.Agent.dxg (DrWEB: Trojan.Spambot.2572)


  • Уважаемый(ая) Banzai, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Svchost рассылает спам
      От driverx в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.08.2009, 20:46
    2. svchost.exe, services.exe + спам-бот
      От Alvor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.07.2009, 17:11
    3. svchost рассылает спам
      От Andrea в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:15
    4. Explorer отправляет спам и лезет на прокси
      От ComCon в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:52
    5. Svchost спам
      От po3 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.09.2008, 21:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01475 seconds with 22 queries