Привет!!! У меня проблемка, с компа идет большой исходящий трафик! Помоему рассылка!!! Высылаю логи. Заранее благодарю.
Привет!!! У меня проблемка, с компа идет большой исходящий трафик! Помоему рассылка!!! Высылаю логи. Заранее благодарю.
Почему только 2 лога?
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
4. Фиксить будем, когда будет лог Хайджека
5. Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ethrmehf'); DeleteService('NDnet1'); QuarantineFile('C:\WINDOWS\herjek.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\rtport.sys',''); QuarantineFile('C:\WINDOWS\system32\ksys.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ethrmehf.sys',''); QuarantineFile('Pibg32.sys',''); DeleteFile('Pibg32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ethrmehf.sys'); DeleteFile('C:\WINDOWS\system32\ksys.sys'); DeleteFile('C:\WINDOWS\herjek.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
6. Очистите темп-папки и кэш проводников.
7. Закачайте карантин по красной ссылке вверху темы
8. Повторите логи.
Последний раз редактировалось Rene-gad; 22.06.2008 в 18:26.
Вот третий лог!!! Прошу прощения.........
moderated:::это не лог , а карантин. Его загружать по красной ссылке вверху темы
Сделал Все как Вы написали. Выполнил скрипт, но рассылка (спам) продолжает идти с этого комьютера.. Высылаю еще раз логи и загружу карантин....
Выполните логи АВЗ то же версией 4.30, как и в Вашем первом сообщении Не забудьте обновить базы.
Выполнил еще раз проверку avz 4.30 с обновленными базами. Спам продолжает идти. Высылаю логи.
Последний раз редактировалось Rene-gad; 02.07.2008 в 09:55. Причина: карантин удален из сообщения
Поищите и пришлите файл
согласно приложениям 2 и 3 правилPibg32.sys
Ой, а знаете я Вам не смогу скинуть файл Pibg.sys, дело в том, что symantec вспомнил, что он все таки антивирус и пока я занимался логами он удалил этот файл, хотя до этого в упор не видел его. Через поиск, тоже ни чего не нашел. По файеру проверил траффик - все ок, процесс остановился и на 25 порт ни кто не ломиться.
Сделайте, плиз, еще раз логи от п.10 правил
Высылаю еще раз логи. Почему то AVZ не создал архив syscheck. Процесс рассылки спама остановлен, после удаления файла Pibg32.sys. Огромное спасибо. Вопрос еще такой если можно? У нас у Всех почта на mail.ru изза рассылки спама не могли они наш айпишник забанить, т.к. входящая почта идет, а отправить не можем.
Ну это же еще не повод, чтобы карантин к теме прикреплять
Я его удалил и закачал по правилам
Пофиксите еще для порядка
Код:O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\Это уже другая тема С провайдером беседовали? Как у Вас вообще устроена почтовая система?входящая почта идет, а отправить не можем.
Пофиксил.
А что с ним беседовать? только на переговорах потеряешь. Вообще ни чего сложного у нас в настройке почты нет. У каждого свой ящик и каждый юзает сам по себе. Доменов или почтовых серверов нет (пока). Настроил почту на gmail.com - гугловская, нормально все приходит и отправляеться. Вот теперь интересно как до администрации майла дозвониться, узнать забанили они наш внешний ip или нет?
ethrmehf.sys - Rootkit.Win32.Agent.ayj
herjek.exe_, rtport.sys - чистые
Фуууххх слава Virusinfo ..., обделался легким испугом....
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ethrmehf.sys - Rootkit.Win32.Agent.ayj (DrWEB: Trojan.Spambot.3354)
Уважаемый(ая) Paukcom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.