Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

комп рассылает спам (заявка № 21198)

  1. #1
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59

    Thumbs up комп рассылает спам

    Добрый день. С компа идёт рассылка спама. Логи и карантин выкладываю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключите восстановление системы.
    Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\Documents and Settings\User\Рабочий стол\.//..//win.exe','');
     QuarantineFile('c:\program files\common files\system\svchost.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Tyh56.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('MSWin--1006534185.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\System\vd3_sys.dat','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tyh56.sys');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('WLCtrl32.dll');
    BC_ImportAll;
    BC_DeleteSvc('Tyh56');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин согласно приложения 3 правил...
    Повторите логи.
    Последний раз редактировалось wise-wistful; 08.04.2008 в 13:15.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @wise-wistful
    Парочку строчек добавь в скрипт:
    Код:
    QuarantineFile('MSWin--1006534185.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\System\vd3_sys.dat','');
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    @PavelA добавил.

  6. #5
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    отправил
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скачиваем http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
    Запускаем, ищем 'C:\WINDOWS\system32\WLCtrl32.dll', нажимаем force delete, подтверждаем Ок
    Тоже самое для 'C:\WINDOWS\System32\Drivers\Tyh56.sys' и
    'C:\WINDOWS\System32\Drivers\Too41.sys'
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    удалил все, кроме C:\WINDOWS\System32\Drivers\Tyh56.sys - нет в исходной директории. Возможно скрытый от API Windows? Поместить в карантин с помощью avz также не удалось.

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Сделайте новый комплект логов.

  10. #9
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    готово
    Вложения Вложения

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Too41.sys');
     DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('Too41');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Поищите при помощи АВЗ сервис--поиск файлов на диске vd3_sys.dat, c:\program files\common files\system\svchost.exe, 1006534185.exe и 1.exe. Пришлите их согласно приложения 2 правил.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Поищите через AVZ то, что не попало в карантин.

    MSWin--1006534185.exe

    1.exe - переименованный Хиджак, наверное.
    Последний раз редактировалось PavelA; 08.04.2008 в 15:22.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Too41.sys');
     DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('Too41');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Поищите при помощи АВЗ сервис--поиск файлов на диске vd3_sys.dat, c:\program files\common files\system\svchost.exe, 1006534185.exe и 1.exe. Пришлите их согласно приложения 2 правил.
    Too41.sys и WLCtrl32.dll - были удалены IceSword, сейчас их в системе нет. 1.exe это скачанный по ссылке IceSword.
    Остальные файлы находятся, но в карантин не помещаются. avz выдаёт ошибку.

    Дополнительная информация - в качестве антивируса стоял NOD32 - оказался заражён. Стормозил, сразу не проверил, сорри. И службы потенциально опасные все были запущены - хотя пару месяцев назад сам всё отключал. Всё отключил.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от turtle Посмотреть сообщение
    NOD32 - оказался заражён. ...
    это как ? у вас был файловый вирус ?
    сделайте новый комплект логов ....

  15. #14
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    Цитата Сообщение от PavelA Посмотреть сообщение
    Поищите через AVZ то, что не попало в карантин.

    MSWin--1006534185.exe

    1.exe - переименованный Хиджак, наверное.
    1006534185.exe - поиском файлов АВЗ его не находит. Добавлением в карантин по списку - Ошибка карантина файла, попытка прямого чтения (1006534185.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\1006534185.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\1006534185.exe)
    Карантин с использованием прямого чтения - ошибка

    Добавлено через 9 минут

    Цитата Сообщение от V_Bond Посмотреть сообщение
    это как ? у вас был файловый вирус ?
    сделайте новый комплект логов ....
    Определил визуально - зашёл в папку C:\Program Files\ESET\cashe обнаружил кроме файла cashe.ndb файлы с таким же именем и другими расширениями (cashe.nd1 и т.д.). CureIt всегда в таких случаях определяет их как вирусы. NOD деинсталлировал ещё после выполнения первого скрипта.
    Последний раз редактировалось turtle; 08.04.2008 в 16:35. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    vd3_sys.dat - удалил CureIt (Trojan.Downloader)

    Модифицирован ключ запуска проводника - с этим что делать? Мастер устранения проблем не помог. FileptcIconOverlay.dll - чистая, я так понимаю?

    Логи обновил.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    Спам не рассылается теперь.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить:
    Код:
    O4 - Startup: MSWin--1006534185.exe
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    Пофиксил, лечение можно считать успешным?

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Да

    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  21. #20
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    59
    Всем огромное спасибо. Мнение по ресурсу обязательно отпишу.

  • Уважаемый(ая) turtle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Комп рассылает спам
      От suzi_qua в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.12.2010, 22:45
    2. Комп рассылает спам
      От Big J в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.10.2010, 22:51
    3. комп рассылает спам
      От danjastar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.08.2009, 17:49
    4. Комп рассылает спам...
      От Sergik_I в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.02.2009, 12:17
    5. комп рассылает спам
      От shoosha в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.10.2008, 08:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01028 seconds with 18 queries