SpamTool в Temp.

[ZAP!]

Здравствуйте!На этот раз такая проблемка:В C/Temp появляются заражённые файлы(AVZ видит их как подозрительные на spamTool.win32.small.z).Dr.web вообще их невидит.Как захожу в и-нет - вроде всё нормально(Firewall молчит,TeaTimer тоже) , запускаю аську-тоже всё в норме.Но потом начинает палить трафик.Также затем появляетсяв C/temp Trojan.Backdoor . Высылаю логи.

[Aleksandra]

Выполните скрипт в AVZ:

Код:

begin
 ExecuteAVUpdate;
 SetAVZPMStatus(true);
 RebootWindows(true);
end.

Повторите логи.

[ZAP!]

Новые логи:

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearHostsFile;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\TEMP\B.tmp','');
 QuarantineFile('C:\Temp\8.tmp','');
 QuarantineFile('C:\Temp\A.tmp','');
 QuarantineFile('C:\Temp\5.tmp','');
 QuarantineFile('C:\Temp\2.tmp','');
 QuarantineFile('c:\temp\a.tmp','');
 DeleteFile('C:\TEMP\B.tmp');
 DeleteFile('c:\temp\a.tmp');
 DeleteFile('C:\Temp\2.tmp');
 DeleteFile('C:\Temp\5.tmp');
 DeleteFile('C:\Temp\A.tmp');
 DeleteFile('C:\Temp\8.tmp');
 DeleteFileMask('C:\Temp','*.*',true);
 DeleteDirectory('C:\Temp');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=35192

3. Повторите логи.

[ZAP!]

Всё равно появляется в C/Temp/ . Карантин отправил(
Файл сохранён как081205_173151_virus_4939b9e7bbd38.zipРазмер файла166909MD5d510c2e1f19a354f8a63a9c6a23e69c1
.)
Новые логи:

[ZAP!]

всё равно гонит трафик в обе стороны! (Jetico) Firewall указывает на активность "Root" - причём перекрывая это-firewall не позволяет вообще принимать и отправлять пакеты.помогите пожалуйста!

[Гриша]

Очистите временные файлы, кеш браузера, сделайте полную проверку AVPTool и повторите логи...

[ZAP!]

Всё равно пояяется Backdoor и spamtool.win32.small.z в c/temp - причём качает с нета.Вот логи:

[ZAP!]

ау люди!ну помогите пожулуйста.

[Aleksandra]

Проверку компьютера с помощью AVPTool делали?

[Aleksandra]

У Вас хитрый зловред, которого не видно в логах в явном виде...

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[ZAP!]

AVP прогнал весь жёсткий-нашёл впринципе то же самое а также несколько троянов в папке system32 - после чего их удалил.Gmer'ом проверил , вот логи:

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearHostsFile;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Settings\arm64.dll','');
 QuarantineFile('C:\Settings\arm80.dll','');
 DeleteFile('C:\Settings\arm64.dll');
 DeleteFile('C:\Settings\arm80.dll');
 DeleteFileMask('C:\Temp','*.*',true);
 DeleteDirectory('C:\Temp');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=35192

3. Очистите временные файлы, кеш браузера и повторите логи...

[ZAP!]

карантин выслал. Новые логи:

[Aleksandra]

Остались ли какие-нибудь проблемы?

[ZAP!]

Пока вроде всё норм-спасибо большое.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 36
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\as\\doctorweb\\quarantine\\b.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  2. c:\\documents and settings\\as\\doctorweb\\quarantine\\d.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  3. c:\\documents and settings\\as\\doctorweb\\quarantine\\f.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  4. c:\\documents and settings\\as\\doctorweb\\quarantine\\11.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  5. c:\\documents and settings\\as\\doctorweb\\quarantine\\13.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  6. c:\\documents and settings\\as\\doctorweb\\quarantine\\15.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  7. c:\\documents and settings\\as\\doctorweb\\quarantine\\9.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  8. c:\\settings\\arm64.dll - Trojan.Win32.Agent.aqfj
  9. c:\\settings\\arm80.dll - Trojan.Win32.Agent.asuw
  10. c:\\temp\\a.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  11. c:\\temp\\b.tmp - Trojan-Mailfinder.Win32.Small.al (DrWEB: Trojan.EmailSpy.184)
  12. c:\\temp\\1.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  13. c:\\temp\\2.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  14. c:\\temp\\5.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  15. c:\\temp\\8.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  16. \\2008-12-08\\bcqr00001.dta - Trojan.Win32.Agent.aqfj
  17. \\2008-12-08\\bcqr00002.dta - Trojan.Win32.Agent.aqfj
  18. \\2008-12-08\\bcqr00003.dta - Trojan.Win32.Agent.asuw
  19. \\2008-12-08\\bcqr00004.dta - Trojan.Win32.Agent.asuw