Здравствуйте.
пролечил компьютер Дрвебом.
Вирусы были, вылечил.
Но при включении Интернета идет большой smtp поток на разные хосты.
Помогите, плз.
Логи прилагаю. Не мог загрузить сюда, даю ссылку.
http://filesstore.ifolder.ru/6015019
Идет смтп от компьютера
Здравствуйте.
пролечил компьютер Дрвебом.
Вирусы были, вылечил.
Но при включении Интернета идет большой smtp поток на разные хосты.
Помогите, плз.
Логи прилагаю. Не мог загрузить сюда, даю ссылку.
http://filesstore.ifolder.ru/6015019
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Kqv40.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\explorer.exe:yahooblog2.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:whois2.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:googrou4.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:gmail3.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:extractor5.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:crawler1.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:blogger5.jpg:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:analyzer1.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:yahooblog2.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:whois2.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:googrou4.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:gmail3.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:extractor5.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:crawler1.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:blogger5.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:analyzer1.jpg:$DATA',''); DelBHO('{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}'); QuarantineFile('sysfldr.dll',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nty51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cin40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv40.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Kqv40.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Kqv40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kqv40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cin40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nty51.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('sysfldr.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Kqv40'); BC_DeleteSvc('Nty51'); BC_DeleteSvc('Cin40'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21024 ).
Пофиксите в HijackThis:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".Код:O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Спасибо, после выполнения всех действий, поток прекратился.
С помощью IceSword удалил файлик.
Но судя по логам, проблема осталась?
Новые логи, получилось отправить уже.
Последний раз редактировалось Powl; 10.04.2009 в 18:42.
Профиксить:
Код:F2 - REG:system.ini: UserInit=userinit.exe, O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} -
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил.
Хелп, таки поток не прекратился, очень здорово шурует!!!
Выполните скрипт:
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\explorer.exe:analyzer1.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:blogger5.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:crawler1.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:extractor5.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:gmail3.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:googrou4.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:whois2.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:yahooblog2.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:analyzer1.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:blogger5.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:crawler1.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:extractor5.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:gmail3.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:googrou4.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:whois2.jpg:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:yahooblog2.jpg:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Руткит Bulknet удален.
Для информации: sysfldr.dll - Trojan.Win32.Pakes.clw (уже удален)
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.ci (уже удален)
По поводу остальных файликов из Вашего карантина ждем вердикта вирлаба.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Через ваш WinRoute кто-то кроме вас работает?
I am not young enough to know everything...
Bratez - Да, работает одна девушка на 1-м компе.
Там все чисто, я проверил.
Тут вроде уже тоже. Неужели настал миг свободного пользования Интернетом?
Логи прилагаю.
Последний раз редактировалось Powl; 10.04.2009 в 18:42.
Логи чистые. Какие-то проблемы остались?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Нет, все чисто, не наблюдаю проблем.
Спасибо огромное, помогли здорово.
А то антивирус совсем помочь не мог.
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 63
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\explorer.exe:analyzer1.jpg:$data - SpamTool.Win32.Delf.cq (DrWEB: Tool.Spaman)
- c:\\windows\\explorer.exe:extractor5.jpg:$data - SpamTool.Win32.Delf.cr (DrWEB: Tool.Spaman)
- c:\\windows\\explorer.exe:whois2.jpg:$data - SpamTool.Win32.Delf.cq (DrWEB: Tool.Spaman)
- c:\\windows\\explorer.exe:yahooblog2.jpg:$data - SpamTool.Win32.Delf.cp (DrWEB: Tool.Spaman)
- c:\\windows\\system32\\sysfldr.dll - Trojan.Win32.Pakes.clw (DrWEB: Trojan.Proxy.3057)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.ci (DrWEB: Trojan.DownLoader.54123)
Уважаемый(ая) Powl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
