Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Убить трояна-комп рассылает спам (заявка № 24042)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32

    Thumbs up Убить трояна-комп рассылает спам

    Лечение установленным Симантеком и CureIt'ом не помогло. Файлы прикрепил.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\W\system32\wind32.exe','');
     QuarantineFile('M1000Rmv.exe','');
     QuarantineFile('C:\W\system32\wupdmng.exe','');
     QuarantineFile('WinNt32.dll','');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\W\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('nuB63');
     QuarantineFile('C:\W\System32\drivers\nuB63.sys','');
     BC_DeleteSvc('agM41');
     QuarantineFile('C:\W\System32\drivers\agM41.sys','');
     QuarantineFile('c:\w\runservice.exe','');
     DeleteFile('C:\W\System32\drivers\agM41.sys');
     DeleteFile('C:\W\System32\drivers\nuB63.sys');
     DeleteFile('C:\W\System32\drivers\tcpsr.sys');
     DeleteFile('WinNt32.dll');
     DeleteFile('M1000Rmv.exe');
     DeleteFile('C:\W\system32\wind32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Повторяю логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    C:\W\system32\wind32.exe- Email-Worm.Win32.Zhelatin.zj (kaspersky)
    C:\W\system32\WinNt32.dll -Trojan-Downloader.Win32.Mutant.acm (kaspersky)
    C:\W\system32\wupdmng.exe- свежий троян
    c:\w\runservice.exe-свежий троян
    Последний раз редактировалось drongo; 05.06.2008 в 13:17.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: reset5 - C:\W\SYSTEM32\reset5.dll
    O20 - Winlogon Notify: WinNt32 - C:\W\
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\W\system32\clvsdg.exe','');
     DeleteFile('C:\W\system32\wupdmng.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Вот это сделайте потом
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\W\system32\Drivers\GLOGODrv.sys','');
     QuarantineFile('C:\W\System32\drivers\WINDRVR.SYS','');
     QuarantineFile('C:\W\system32\wupdmng.exe','');
     QuarantineFile('C:\W\system32\clvsdg.exe','');
     QuarantineFile('C:\W\system32\DRIVERS\rksample.sys','');
     QuarantineFile('C:\W\system32\DRIVERS\basic2.sys','');
     QuarantineFile('C:\W\System32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\W\system32\drivers\sptddrv1.sys','');
     TerminateProcessByName('c:\w\system32\wupdmng.exe');
     TerminateProcessByName('c:\w\runservice.exe');
     DeleteFile('C:\W\system32\clvsdg.exe');
     DeleteFile('c:\w\runservice.exe');
     DeleteFile('c:\w\system32\wupdmng.exe');
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    , карантин новый загрузить.

  8. #7
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Ощущение, что первоначально загрузил старый архив

    Цитата Сообщение от drongo Посмотреть сообщение
    Вот это сделайте потом
    ...
    , карантин новый загрузить.
    После перезагрузки вылезла такая хня:
    Восстановление Active Desktop
    Произошла непредвиденная ошибка Windows. В качестве предосторожности был отключен рабочий стол Active Desktop. Для восстановления Active Desktop выполните следующие действия:
    Перестал работать обозреватель, или же вы перезагрузили компьютер, не завершив работу Windows? В этом случае нажмитеи т.д.
    Последний раз редактировалось Alex_Goodwin; 06.06.2008 в 15:49. Причина: Добавлено

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ну там же есть, что нажать для восстановления раб. стола. Не помогает?
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Да не, помогло Просто не двигался без команды старших по званию

  11. #10
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Хотелось бы понять, окончательный вердикт по последним карантинам будет?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    clvsdg.exe - Trojan.Win32.Inject.cpd

    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Логи сделал
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    новый день - новая гадость .
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('asc3550p');
     QuarantineFile('C:\Documents and Settings\Борис.QQ\cftmon.exe','');
     BC_DeleteSvc('WMPNetworkSvcFastUserSwitchingCompatibility');
     QuarantineFile('C:\W\system32\icsxmlp.exe','');
     BC_DeleteSvc('COMSysAppccPwdSvc');
     QuarantineFile('C:\W\system32\c_1252y.exe','');
     BC_DeleteSvc('Schedule');
     QuarantineFile('\W\system32\ntkrnlpa.exe','');
     QuarantineFile('C:\W\system32\WinCtrl32.dll','');
     QuarantineFile('C:\W\system32\drivers\spools.exe','');
     QuarantineFile('c:\w\system32\drivers\spools.exe','');
     DeleteFile('c:\w\system32\drivers\spools.exe');
     DeleteFile('C:\W\system32\drivers\spools.exe');
     DeleteFile('C:\W\system32\WinCtrl32.dll');
     DeleteFile('C:\W\system32\c_1252y.exe');
     DeleteFile('C:\W\system32\icsxmlp.exe');
     DeleteFile('C:\Documents and Settings\Борис.QQ\cftmon.exe');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  15. #14
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Ув. хэлперы, меня вот что беспокоит - сегодня поставил ProcessGuard, заменил Atguard на Outpost. Может быть не надо было этого делать, а дождаться конечного рез-та вашей работы?
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Соня.QQ\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temporary Internet Files\Content.IE5\O36Z21A1\windd[1].exe','');
     QuarantineFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temp\E.tmp','');
     DeleteService('asc3550p');
     BC_DeleteSvc('Schedule');
     QuarantineFile('asc3550p.sys','');
     DeleteFile('C:\W\system32\DRIVERS\asc3550p.sys');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Наташа.QQ\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temp\E.tmp');
     DeleteFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temporary Internet Files\Content.IE5\O36Z21A1\windd[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  17. #16
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Выполняю ...
    Загружаю ...
    Повторяю ...
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    было:
    cftmon.exe - Worm.Win32.AutoRun.eav
    icsxmlp.exe - Trojan.Win32.Inject.cpd
    WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.adg

  19. #18
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Поставил Касперского. Нашел 23 троянца/вируса. Вот новые логи.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ..
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\W\
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('asc3550p');
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ...

  21. #20
    Junior Member Репутация
    Регистрация
    03.06.2008
    Адрес
    Новосибирск
    Сообщений
    11
    Вес репутации
    32
    Фиксю ...
    Выполняю ...
    Повторяю логи ...
    Вложения Вложения

  • Уважаемый(ая) Nameless_54, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Комп рассылает спам
      От suzi_qua в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.12.2010, 22:45
    2. комп рассылает спам
      От danjastar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.08.2009, 17:49
    3. Комп рассылает спам...
      От Sergik_I в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.02.2009, 12:17
    4. Комп рассылает спам
      От Tipster в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 26.05.2008, 18:00
    5. мой комп рассылает спам
      От Hose в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 02.12.2006, 16:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01234 seconds with 23 queries