Троян

[Paukcom]

Привет!!! У меня проблемка, с компа идет большой исходящий трафик! Помоему рассылка!!! Высылаю логи. Заранее благодарю.

[Rene-gad]

Высылаю логи.

Почему только 2 лога?
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
4. Фиксить будем, когда будет лог Хайджека
5. Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ethrmehf');
 DeleteService('NDnet1');
 QuarantineFile('C:\WINDOWS\herjek.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\rtport.sys','');
 QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethrmehf.sys','');
 QuarantineFile('Pibg32.sys','');
 DeleteFile('Pibg32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ethrmehf.sys');
 DeleteFile('C:\WINDOWS\system32\ksys.sys');
 DeleteFile('C:\WINDOWS\herjek.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
6. Очистите темп-папки и кэш проводников.
7. Закачайте карантин по красной ссылке вверху темы
8. Повторите логи.

[Paukcom]

Вот третий лог!!! Прошу прощения.........
moderated:::это не лог , а карантин. Его загружать по красной ссылке вверху темы

[Paukcom]

Сделал Все как Вы написали. Выполнил скрипт, но рассылка (спам) продолжает идти с этого комьютера.. Высылаю еще раз логи и загружу карантин....

[Rene-gad]

Выполните логи АВЗ то же версией 4.30, как и в Вашем первом сообщении Не забудьте обновить базы.

[Paukcom]

Выполнил еще раз проверку avz 4.30 с обновленными базами. Спам продолжает идти. Высылаю логи.

[Rene-gad]

Поищите и пришлите файл

Pibg32.sys

согласно приложениям 2 и 3 правил

[Paukcom]

Ой, а знаете я Вам не смогу скинуть файл Pibg.sys, дело в том, что symantec вспомнил, что он все таки антивирус и пока я занимался логами он удалил этот файл, хотя до этого в упор не видел его. Через поиск, тоже ни чего не нашел. По файеру проверил траффик - все ок, процесс остановился и на 25 порт ни кто не ломиться.

[Rene-gad]

Сделайте, плиз, еще раз логи от п.10 правил

[Paukcom]

Высылаю еще раз логи. Почему то AVZ не создал архив syscheck. Процесс рассылки спама остановлен, после удаления файла Pibg32.sys. Огромное спасибо. Вопрос еще такой если можно? У нас у Всех почта на mail.ru изза рассылки спама не могли они наш айпишник забанить, т.к. входящая почта идет, а отправить не можем.

[Rene-gad]

Почему то AVZ не создал архив syscheck.

Ну это же еще не повод, чтобы карантин к теме прикреплять
Я его удалил и закачал по правилам
Пофиксите еще для порядка

Код:

O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

входящая почта идет, а отправить не можем.

Это уже другая тема С провайдером беседовали? Как у Вас вообще устроена почтовая система?

[Paukcom]

Пофиксил.
А что с ним беседовать? только на переговорах потеряешь. Вообще ни чего сложного у нас в настройке почты нет. У каждого свой ящик и каждый юзает сам по себе. Доменов или почтовых серверов нет (пока). Настроил почту на gmail.com - гугловская, нормально все приходит и отправляеться. Вот теперь интересно как до администрации майла дозвониться, узнать забанили они наш внешний ip или нет?

[Alex_Goodwin]

ethrmehf.sys - Rootkit.Win32.Agent.ayj

herjek.exe_, rtport.sys - чистые

[Paukcom]

ethrmehf.sys - Rootkit.Win32.Agent.ayj

Не понял товарищи, что еще вирус есть?

[Rene-gad]

Не понял товарищи, что еще вирус есть?

Это просто Информация к размышлению (с)

[Paukcom]

Фуууххх слава Virusinfo ..., обделался легким испугом....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\ethrmehf.sys - Rootkit.Win32.Agent.ayj (DrWEB: Trojan.Spambot.3354)