Показано с 1 по 12 из 12.

рассылается спам (заявка № 42139)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2008
    Сообщений
    16
    Вес репутации
    30

    Exclamation рассылается спам

    Добрый день.
    С компа рассылается спам. Самому не справиться. Файлы vmmreg32.dll video.sys после удаления создаются снова. Т.е. основа заразы - не они.
    В безопасном режиме проверил AVPTool`ом с лечением и удалением, сделал логи согласно правилам.

    P.S. На соседней машине был этот же, вроде, вирус. Там он удалился без особых сложностей.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe 
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
    Скопированные с помощью IceSword файлы сохраните в карантине.
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.


    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winhelp32.exe');
     StopService('VIDEO');
     StopService('vmi388');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
     QuarantineFile('C:\WINDOWS\System32\drivers\vmi388.sys','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('WinCtrl32.dll','');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\vmi388.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
     DeleteService('VIDEO');
     DeleteService('vmi388');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    BC_DeleteSvc('vmi388');
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки:

    - Выполните скрипт 2
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    RebootWindows(true);
    end.

    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2008
    Сообщений
    16
    Вес репутации
    30
    все выполнил. TCPView на данный момент не видит левых коннектов. Логи прилагаю.

    Спасибо большое за помощь.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    лог virusinfo_syscure.zip где?

  6. #5
    Junior Member Репутация
    Регистрация
    24.12.2008
    Сообщений
    16
    Вес репутации
    30
    эээ... сейчас будет, выполняю. Мне показалось, что Вы попросили с п.10 правил. Сглючило, видно меня.

  7. #6
    Junior Member Репутация
    Регистрация
    24.12.2008
    Сообщений
    16
    Вес репутации
    30
    рано порадовался: Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "vmmreg32.dll"
    Нижайше прошу прощения: надо уходить из офиса. Сейчас только меня ждут. Придется продолжать в ПН.

    отсутствующий лог virusinfo_syscure.zip прилагаю
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    "Пофиксите" в HijackThis
    Код:
    O20 - AppInit_DLLs: vmmreg32.dll
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
     BC_DeleteSvc('upnphostVSS');
     BC_DeleteSvc('SSDPSRVNla');
     BC_DeleteSvc('seclogonWZCSVC');
     BC_DeleteSvc('seclogonAppMgmt');
     BC_DeleteSvc('RpcSsSpooler');
     BC_DeleteSvc('RpcSsseclogon');
     BC_DeleteSvc('NetDDEdsdmTrkWks');
     BC_DeleteSvc('LiveUpdateccEvtMgr');
     BC_DeleteSvc('HidServwinmgmt');
     BC_DeleteSvc('HidServCOMSysApp');
     BC_DeleteSvc('DefWatchCryptSvc');
     BC_DeleteSvc('ClipSrvUPS');
     BC_DeleteSvc('ccSetMgrLiveUpdate');
     DeleteFile('srv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пункты 2 и 3 диагностики повторите.
    Последний раз редактировалось Rene-gad; 20.03.2009 в 20:10.

  9. #8
    Junior Member Репутация
    Регистрация
    24.12.2008
    Сообщений
    16
    Вес репутации
    30
    Спасибо большое, вроде все чисто по логам.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    -Пофиксите службу
    Код:
    O23 - Service: Служба обеспечения сети xmlprovImapiService (xmlprovImapiService) - Unknown owner - .exe (file missing)
    Повторите логи
    virusinfo_syscheck.zip
    hijackthis.log

  11. #10
    Junior Member Репутация
    Регистрация
    24.12.2008
    Сообщений
    16
    Вес репутации
    30
    пофиксил
    повторил

    Еще раз спасибо.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    В логах ничего подозрительного.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. \spam1 - Trojan-Dropper.Win32.Agent.acga ( DrWEB: Trojan.MulDrop.29404, BitDefender: Trojan.Generic.1269022 )
      2. \spam2 - Trojan-Dropper.Win32.Agent.acgi ( DrWEB: Trojan.MulDrop.29402, BitDefender: Trojan.Generic.1265514 )
      3. \spam3 - Trojan-PSW.Win32.Agent.lkk ( DrWEB: Trojan.NtRootKit.2525, BitDefender: Trojan.Generic.1266870 )
      4. \spam4 - Trojan-PSW.Win32.Agent.lkk ( DrWEB: Trojan.NtRootKit.2525, BitDefender: Trojan.Generic.1266870 )
      5. \spam5 - Trojan-Dropper.Win32.Agent.acgi ( DrWEB: Trojan.MulDrop.29402, BitDefender: Trojan.Generic.1265514 )
      6. \spam6 - Trojan-Dropper.Win32.Agent.acga ( DrWEB: Trojan.MulDrop.29404, BitDefender: Trojan.Generic.1269022 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Greyhawk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Рассылается спам с контакта
      От Anry_g505 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.11.2011, 10:25
    2. Рассылается спам от меня vkontakte.ru
      От Anry_g505 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 31.10.2011, 15:54
    3. Постоянно рассылается спам
      От Eugene Zh. в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.01.2009, 04:20
    4. Рассылается спам
      От kerom в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.01.2009, 16:37
    5. рассылается спам
      От tohash в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.08.2008, 22:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00809 seconds with 23 queries