Словил спам-бот

**SergeSerge** · 03.02.2009, 13:45

Лезет в и-нет на 206.51.231.148
Если разрешить, то начинается:
22:26:05 svchost.exe ИСХ UDP ns2.agava.net.ru DNS
22:26:05 svchost.exe ИСХ TCP 213.189.198.6 SMTP
22:26:05 svchost.exe ИСХ UDP 193.124.83.69 DNS
22:26:05 svchost.exe ИСХ TCP 212.53.64.43 SMTP
22:26:05 svchost.exe ИСХ UDP 192.93.0.4 DNS
22:26:05 svchost.exe ИСХ UDP 209.173.58.65 DNS
22:26:05 svchost.exe ИСХ UDP ns.ripn.net DNS
22:26:04 svchost.exe ИСХ UDP e.dns.ripn.net DNS
22:26:04 svchost.exe ИСХ UDP 212.107.223.7 DNS
22:26:04 svchost.exe ИСХ UDP 83.242.140.11 DNS
22:26:04 svchost.exe ИСХ UDP 83.242.139.21 DNS
22:26:04 svchost.exe ИСХ UDP ns2.slavhost.com DNS
и т.д.
В папке Win/Temp есть неудаляемый файл Vdm6.tmp и Jetaeae.tmp
Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 03.02.2009, 13:51

Прочитайте внимательно http://virusinfo.info/showthread.php?t=1235. там указано как делать логи avz, ваше творение удалите.

**SergeSerge** · 03.02.2009, 15:45

Понял, спасибо.
Не смог найти как удалять вложенные файлы.

**light59** · 03.02.2009, 16:11

В личном кабинете- "Вложения"

**SergeSerge** · 03.02.2009, 20:25

Сделал все по инструкции, но: не могу отключить восстановление системы, нет соответствующей вкладки и папка System Volume Information-отказано в доступе при всех включенных разрешениях.
Проверка антивирусом единственно что показала- файл ati0umxx -отказано в доступе.

**light59** · 03.02.2009, 20:30

Скачать этот AVZ http://depositfiles.com/files/5k0qihqas
Отключите файервол перед выполнением скрипта
В скаченом AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
 QuarantineFile('C:\WINDOWS\tsnpstd3.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 DeleteService('ati0umxx');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati0umxx.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati0umxx.sys');
BC_Importall;
 BC_DeleteSvc('ati0umxx');
ExecuteSysClean;
 ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=38849
Повторите логи по правилам.

**SergeSerge** · 03.02.2009, 22:17

Закачал, спасибо.

**drongo** · 03.02.2009, 22:59

Повторите логи по правилам

**SergeSerge** · 04.02.2009, 19:29

Повторил.
После лечения вылез артефакт: при загрузке системы на фоне заставки появляется квадратное окно с четырьмя палочками в левом верхнем углу.
на щелканье по крестику не реагирует, после нажатия на ОК закрывается и продолжается загрузка.

**drongo** · 04.02.2009, 19:46

ещё не много, ещё чуть чуть:
выполнить скрипт:

Код:

begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('C:\WINDOWS\gdrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
 DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe');
BC_Importall;
 BC_DeleteSvc('appdrvrem01');
ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(9);
 ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

карантин прислать, новые логи сделать и прикрепить.
sp3 с вагоном обновлений не забудьте, а то всё потраченное время коту под хвост

**SergeSerge** · 04.02.2009, 21:05

После выполнения этого скрипта артефакт исчез, после выполнения 1-го пункта
инструкции появился снова.
Карантин выслал, логи прикрепил.

**drongo** · 04.02.2009, 21:30

отключите все ваши "анти" и интернет, выполните скрипт:

Код:

begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sti_ci.dll','');
 QuarantineFile('C:\WINDOWS\system32\dvmurl.dll','');
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.sys','');
 DeleteFile('C:\WINDOWS\system32\winsys2.exe');
BC_Importall;
ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(9);
 ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

Повторите только virusinfo_syscure.zip, карантин прислать.

**SergeSerge** · 05.02.2009, 19:50

Артефакты исчезли, спасибо.
Все отправил.

**Гриша** · 05.02.2009, 19:54

В логах чисто, установите SP3+all updates...

**SergeSerge** · 05.02.2009, 21:47

Большое спасибо всем, оказавшим помощь.

**CyberHelper** · 06.02.2009, 21:47

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 30
В ходе лечения вредоносные программы в карантинах не обнаружены

Словил спам-бот (заявка № 38849)

Опции темы

Словил спам-бот

Итог лечения

Похожие темы

Словил winlock на XP

Словил трояна

Словил Get Accelerator

долой спам-спам-спам....спааам

что-то словил

Ваши права в разделе