-
Junior Member
- Вес репутации
- 57
SpamTool в Temp.
Здравствуйте!На этот раз такая проблемка:В C/Temp появляются заражённые файлы(AVZ видит их как подозрительные на spamTool.win32.small.z).Dr.web вообще их невидит.Как захожу в и-нет - вроде всё нормально(Firewall молчит,TeaTimer тоже) , запускаю аську-тоже всё в норме.Но потом начинает палить трафик.Также затем появляетсяв C/temp Trojan.Backdoor . Высылаю логи.
Последний раз редактировалось ZAP!; 07.12.2008 в 23:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteAVUpdate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось ZAP!; 07.12.2008 в 23:21.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\B.tmp','');
QuarantineFile('C:\Temp\8.tmp','');
QuarantineFile('C:\Temp\A.tmp','');
QuarantineFile('C:\Temp\5.tmp','');
QuarantineFile('C:\Temp\2.tmp','');
QuarantineFile('c:\temp\a.tmp','');
DeleteFile('C:\TEMP\B.tmp');
DeleteFile('c:\temp\a.tmp');
DeleteFile('C:\Temp\2.tmp');
DeleteFile('C:\Temp\5.tmp');
DeleteFile('C:\Temp\A.tmp');
DeleteFile('C:\Temp\8.tmp');
DeleteFileMask('C:\Temp','*.*',true);
DeleteDirectory('C:\Temp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=35192
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Всё равно появляется в C/Temp/ . Карантин отправил(
Файл сохранён как081205_173151_virus_4939b9e7bbd38.zipРазмер файла166909MD5d510c2e1f19a354f8a63a9c6a23e69c1
.)
Новые логи:
Последний раз редактировалось ZAP!; 07.12.2008 в 23:21.
-
Junior Member
- Вес репутации
- 57
всё равно гонит трафик в обе стороны! (Jetico) Firewall указывает на активность "Root" - причём перекрывая это-firewall не позволяет вообще принимать и отправлять пакеты.помогите пожалуйста!
-
Очистите временные файлы, кеш браузера, сделайте полную проверку AVPTool и повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Всё равно пояяется Backdoor и spamtool.win32.small.z в c/temp - причём качает с нета.Вот логи:
Последний раз редактировалось ZAP!; 07.12.2008 в 23:21.
-
Junior Member
- Вес репутации
- 57
ау люди!ну помогите пожулуйста.
-
Проверку компьютера с помощью AVPTool делали?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
У Вас хитрый зловред, которого не видно в логах в явном виде...
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Последний раз редактировалось Aleksandra; 07.12.2008 в 22:09.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
AVP прогнал весь жёсткий-нашёл впринципе то же самое а также несколько троянов в папке system32 - после чего их удалил.Gmer'ом проверил , вот логи:
Последний раз редактировалось ZAP!; 15.12.2008 в 19:13.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Settings\arm64.dll','');
QuarantineFile('C:\Settings\arm80.dll','');
DeleteFile('C:\Settings\arm64.dll');
DeleteFile('C:\Settings\arm80.dll');
DeleteFileMask('C:\Temp','*.*',true);
DeleteDirectory('C:\Temp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=35192
3. Очистите временные файлы, кеш браузера и повторите логи...
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
карантин выслал. Новые логи:
Последний раз редактировалось ZAP!; 15.12.2008 в 19:13.
-
Остались ли какие-нибудь проблемы?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Пока вроде всё норм-спасибо большое.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\as\\doctorweb\\quarantine\\b.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\documents and settings\\as\\doctorweb\\quarantine\\d.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\documents and settings\\as\\doctorweb\\quarantine\\f.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\documents and settings\\as\\doctorweb\\quarantine\\11.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\documents and settings\\as\\doctorweb\\quarantine\\13.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\documents and settings\\as\\doctorweb\\quarantine\\15.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\documents and settings\\as\\doctorweb\\quarantine\\9.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\settings\\arm64.dll - Trojan.Win32.Agent.aqfj
- c:\\settings\\arm80.dll - Trojan.Win32.Agent.asuw
- c:\\temp\\a.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\temp\\b.tmp - Trojan-Mailfinder.Win32.Small.al (DrWEB: Trojan.EmailSpy.184)
- c:\\temp\\1.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\temp\\2.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\temp\\5.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- c:\\temp\\8.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
- \\2008-12-08\\bcqr00001.dta - Trojan.Win32.Agent.aqfj
- \\2008-12-08\\bcqr00002.dta - Trojan.Win32.Agent.aqfj
- \\2008-12-08\\bcqr00003.dta - Trojan.Win32.Agent.asuw
- \\2008-12-08\\bcqr00004.dta - Trojan.Win32.Agent.asuw
-