-
Руткит, рассылка спама
С компьютера периодически рассылается спам в локальную сеть, возможно и дальше. Антивирус Касперского и CureIt не запускаются. В безопасном режиме CureIt ничего не находит. Руками удалил процесс и файл magent.exe в системной папке. Прошу помощи, чтоб убить msvc32.dll
Последний раз редактировалось Ярик; 24.11.2008 в 13:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключитесь от сети.
Закройте все программы.
Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\lebedeva\Рабочий стол\msdos.pif','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('c:\windows\system32\mspb.exe','');
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
QuarantineFile('c:\windows\system32\msvc32.dll','');
BC_DeleteFile('c:\windows\system32\msvc32.dll');
BC_DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_DeleteFile('c:\windows\system32\mspb.exe');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_DeleteFile('C:\Documents and Settings\lebedeva\Рабочий стол\msdos.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
http://virusinfo.info/upload_virus.php?tid=23516
При создании архива карантина отключите антивирус.
Обновите базы AVZ.
Сделайте новые логи и приложите их к вашей теме.
-
-
Карантин и логи после выполнения скрипта прилагаю. Установленный на машине Касперский ожил.
Последний раз редактировалось Ярик; 24.11.2008 в 13:12.
-
Отключите антивирус!
Пофиксить
Код:
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll (file missing)
O21 - SSODL: msvc32.dll - {3A0F19DF-569C-AFEC-01C8-88E100072345} - c:\windows\system32\msvc32.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}');
DeleteFile('c:\windows\system32\msvc32.dll');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи начиная с п.10 правил.
-
-
При полной проверке диска Касперским удален файл C:\a (червь Feebs.nv). Пофиксил, выполнил скрипт. Вот запрошенные логи.
Последний раз редактировалось Ярик; 24.11.2008 в 13:12.
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
Begin
DelCLSID('3A0F19DF-569C-AFEC-01C8-88E100072345');
end.
В логах все нормально. Проблем больше нет?
-
-
Сделал. Похоже, действительно, всё. Спасибо!