Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

рассылается "спам" по 17(udp) protokol и 53(dns)Dst.port (заявка № 19120)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    Exclamation рассылается "спам" по 17(udp) protokol и 53(dns)Dst.port

    а также по 6(tcp) protokol 25(smtp) Dst.port
    Последний раз редактировалось AlexKlo; 04.03.2008 в 18:31.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    CureIT!

    CureIT проверить не удаётся ,после нажатия "старт" комп перегружается

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_QrFile('C:\WINDOWS\system32\Drivers\Fkp62.sys');
     BC_QrFile('C:\WINDOWS\system32\Drivers\Jnq52.sys');
     BC_QrFile('C:\WINDOWS\system32\Drivers\Vqi35.sys');
     BC_QrFile('C:\WINDOWS\System32\CcEvtSvc.exe');
     BC_QrFile('C:\WINDOWS\system32\winlagan.exe');
     BC_QrFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
     BC_QrFile('C:\WINDOWS\system32\Drivers\diperto6ff4-a8c.sys');
     BC_QrFile('C:\WINDOWS\system\hipsrv.mm');
     BC_QrFile('C:\WINDOWS\system32\Drivers\NdisWon.sys');
     BC_QrFile('C:\WINDOWS\system32\taskmon.sys');
     BC_QrFile('C:\WINDOWS\system32\ctfmona.exe');
     BC_QrFile('C:\WINDOWS\system32\rpcc.dll');
     BC_QrFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe');
     BC_QrFile('C:\WINDOWS\temp\winlogon.exe');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Fkp62.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Jnq52.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vqi35.sys');
     BC_DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
     BC_DeleteFile('C:\WINDOWS\system32\winlagan.exe');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\diperto6ff4-a8c.sys');
     BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\NdisWon.sys');
     BC_DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     BC_DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
     BC_DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     BC_DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe');
     BC_DeleteFile('C:\WINDOWS\temp\winlogon.exe');
     BC_DeleteSvc('taskmon.sys');
     BC_DeleteSvc('NdisWon');
     BC_DeleteSvc('hipsrv');
     BC_DeleteSvc('diperto6ff4-a8c');
     BC_DeleteSvc('asc3550p');
     BC_DeleteSvc('Vqi35');
     BC_DeleteSvc('Fkp62');
     BC_DeleteSvc('Jnq52');
     BC_DeleteSvc('Google Online Search Service');
     BC_DeleteSvc('CcEvtSvc');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19120).
    Обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    отправил карантин

    Файл сохранён как080304_055419_2008-03-04_47cd386bbe378.zipРазмер файла215708MD52c04c2f6670483b34941ae6c69b89f60

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Trojan-Downloader.Win32.Agent.kfd C:\WINDOWS\System32\CcEvtSvc.exe
    Trojan-Downloader.Win32.Winlagons.ag C:\WINDOWS\system32\winlagan.exe
    Trojan.Win32.Agent.gauC:\WINDOWS\system\hipsrv.mm
    Trojan-Proxy.Win32.Saturn.ab C:\WINDOWS\system32\Drivers\NdisWon.sys
    not-a-virus:Downloader.Win32.WinFixer.ed C:\WINDOWS\system32\ctfmona.exe
    Email-Worm.Win32.Zhelatin.vu C:\WINDOWS\system32\n2ewma1xxsv2234.exe
    Trojan-Proxy.Win32.Dlena.en C:\WINDOWS\system32\rpcc.dll
    Последний раз редактировалось Макcим; 04.03.2008 в 15:09.

  7. #6
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    лог фаил

    только один. комп перегружается
    Последний раз редактировалось AlexKlo; 04.03.2008 в 18:31.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отключите антивирус.
    Выполните поочередно два скрипта:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Fkp62', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Fkp62.sys');
     BC_DeleteSvc('Fkp62');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Fkp62.sys');
     BC_Activate;
     RebootWindows(true); 
    end.
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Vqi35', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Vqi35.sys');
     BC_DeleteSvc('Vqi35');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Vqi35.sys');
     BC_Activate;
     RebootWindows(true); 
    end.
    После каждого будет перезагрузка.
    Затем сделайте еще раз лог syscheck.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    после 2-х скриптов

    после 2-х скриптов

  10. #9
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    лог фаил

    syscheck
    Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Один удалился, надо будет повторить первый скрипт из сообщения
    Bratez.

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Там еще вот этот есть C:\WINDOWS\system32\WLCtrl32.dll, но его будем след. заходом убивать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    virusinfo_syscheck.zip

    повторил первый из двух и выполнил последний
    24.8кб
    Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачать C:\WINDOWS\system32\WLCtrl32.dll ,C:\WINDOWS\system32\Drivers\Fkp62.sys - force delete
    выполните скрипт ... авз
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Fkp62.sys');
     BC_DeleteSvc('Fkp62');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  14. #13
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    последние логи

    логи
    Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    "Восст. системы" надо отключить!!!

    Не надо карантин сюда прикладывать, даже пустой.

    После методов V_Bond почти все умерли.
    Дочищаем:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\SysCleaner\com\scsdelete.dll','');
     DeleteFile('WLCtrl32.dll');
    ExecuteSysClean;
    
    RebootWindows(true);
    end.
    Если, что-то попадет в карантин, то загрузить через ссылку вверху темы.
    Последний раз редактировалось PavelA; 04.03.2008 в 20:37.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33
    простите,увидел архив и прилепил
    машина уже не лезит в инет , можно ли примениль скрипты к другим машинам,у меня ещё 2 таких, ломятся по указанным в самом начале портам

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    НЕТ!! Там могут быть файлы с другими именами.
    Нужна отдельная тема для каждой машины.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33
    спасибо,если получится завтра продолжим с другими
    что по данному случаю ??

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    конечно продолжим ...
    по данному случаю нужны логи ..

  20. #19
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    51
    Вес репутации
    33

    логи

    2 лога
    Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах чисто... не плохо бы еще остатки симантека дочистить ...

  • Уважаемый(ая) AlexKlo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    3. Комп 2 рассылается "спам" 25 порту (smtp)
      От AlexKlo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.11.2008, 18:45
    4. Ответов: 12
      Последнее сообщение: 05.03.2008, 18:04
    5. Ответов: 15
      Последнее сообщение: 05.03.2008, 17:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00990 seconds with 22 queries