добрый день
помогите, пожалуйста, отловить спам-бот
судя по данным tcpview некий процесс из-под svchost рассылает по разым серверам спам (на 25 порт)
добрый день
помогите, пожалуйста, отловить спам-бот
судя по данным tcpview некий процесс из-под svchost рассылает по разым серверам спам (на 25 порт)
Все делать в обычном режиме (не Safe Mode).
Отключите восстановление системы, как написано в правилах.
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Mrw62.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Canto\Corel Cumulus 5 LE\Menu Commands\Catalog\Optimize For Safety.exe',''); QuarantineFile('C:\Program Files\Canto\Corel Cumulus 5 LE\Menu Commands\Special\Hot Folder.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C3SZY12X\1[1].exe',''); QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe',''); QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Mrw62.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Mrw62.sys'); DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe'); DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C3SZY12X\1[1].exe'); DeleteService('Aedidhfi'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('CcEvtSvc'); BC_DeleteSvc('CbEvtSvc'); BC_DeleteSvc('Mrw62'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=28637 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
карантин послал.
логи собираю.
спасибо
PS что-то сегодня сайт ваш частенько недоступен :-(
логи
Ничего плохого.
AVG есть 8-я версия - надо бы обновить.
Сервис Пак 3 поставьте.
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\c3szy12x\\1[1].exe - Trojan.Win32.BHO.bhx
- c:\\windows\\system32\\drivers\\mrw62.sys - Rootkit.Win32.Agent.byr (DrWEB: Trojan.MulDrop.17530)
Уважаемый(ая) AirMax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.