Junior Member
Вес репутации
59
Большие пакеты писем на отправку...
Аваст сегодня начал выдавать такую штуку, что идет попытка отправки писем большим пакетом. Адреса явно не из моей адресной книжки. Полностью проверила, удалила что нашлось. Один правда при выходе в инет, заново появляестся. Аваст пока не выдает сообщений о массовом отправлении писем, но время от времени появляется значок сканера почты. Почта отключена. Посмотрите пожалуйста что это. Благодарю вас за работу.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строчки:
Код:
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [advap32] "C:\Documents and Settings\Наташа\Рабочий стол\.//..//drwvas.exe" /r
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Наташа\Рабочий стол\.//..//drwvas.exe','');
QuarantineFile('C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yei48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0kpxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0dhxx.sys','');
QuarantineFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe','');
QuarantineFile('C:\WINDOWS\system32\AgCPanelPortugesej.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\ati2koxx.sys','');
QuarantineFile('C:\PROGRA~1\Google\GOOGLE~3\GoogleDesktopResources_ru.dll','');
QuarantineFile('c:\program files\google\common\google updater\googleupdaterservice.exe','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system32\ice_time.dll','');
StopService('NtmsSvc Mail Scanner');
SetServiceStart('NtmsSvc Mail Scanner', 4);
TerminateProcessByName('c:\windows\system32\rs32net.exe');
TerminateProcessByName('c:\program files\google\common\google updater\googleupdaterservice.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
BC_DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\drivers\ati2koxx.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\ati2koxx.sys');
DeleteFile('C:\WINDOWS\system32\AgCPanelPortugesej.exe');
BC_DeleteFile('C:\WINDOWS\system32\AgCPanelPortugesej.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0dhxx.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\ati0dhxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0kpxx.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\ati0kpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl26.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wingl26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn61.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winjn61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo04.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winjo04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp83.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winkp83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc62.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winuc62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yei48.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Yei48.sys');
DeleteFile('C:\Documents and Settings\Наташа\Рабочий стол\.//..//drwvas.exe');
BC_DeleteFile('C:\Documents and Settings\Наташа\Рабочий стол\.//..//drwvas.exe');
BC_DeleteSVC('Yei48');
BC_DeleteSVC('Winuc62');
BC_DeleteSVC('Winkp83');
BC_DeleteSVC('Winjo04');
BC_DeleteSVC('Winjn61');
BC_DeleteSVC('Wingl26');
BC_DeleteSVC('ati0kpxx');
BC_DeleteSVC('ati0dhxx');
BC_DeleteSVC('NtmsSvc Mail Scanner');
BC_ImportquarantineList;
BC_Activate;
Delwinlogonnotifybykeyname('WinCtrl32');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=32269 , как написано в прил.2 правил, и повторите логи.
Junior Member
Вес репутации
59
Карантин загрузила. Новые логи
Вложения
Junior Member
Вес репутации
59
Скажите, что за штука была
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati6xcxx');
DeleteService('ati6bfxx');
DeleteService('ati5fjxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5fjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6bfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xcxx.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ati6xcxx');
BC_DeleteSvc('ati6bfxx');
BC_DeleteSvc('ati5fjxx');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
с момента выполнения первого скрипта, перестало выскакивать сообщение о письмах. К сети подключена несколько часов все отлично!!! Благодарю
Добавлено через 1 минуту
Что за вредина была?
Последний раз редактировалось Sandmartin; 18.10.2008 в 20:25 .
Причина: Добавлено
Спамбот
Junior Member
Вес репутации
59
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 41 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\agcpanelportugesej.exe - Trojan.Win32.Pakes.lga (DrWEB: BackDoor.IRC.Nite.1 c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.ahxz (DrWEB: BackDoor.Bulknet.256)