Показано с 1 по 12 из 12.

Svchost рассылает спам (заявка № 51704)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    6
    Вес репутации
    54

    Svchost рассылает спам

    Здравствуйте!
    Имеется ноутбук на котором стоит ХР SP2. Насколько процессов svchost постоянно ломятся куда-то на 25 порт. Полная проверка Касперским ничего не дала. При попытке запустить CureIT как в обычном так и в безопасном режиме - синий экран. Help.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    1. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\NetworkService\NetworkService.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\systemprofile.exe','');
     QuarantineFile('C:\WINDOWS\system32\as1258.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Program Files\Manson\liser.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     DeleteService('ws2_32sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
     DeleteService('protect');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     DeleteService('netsik');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     DeleteService('ksi32sk');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('ati64si');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\mxfjxrtus435tiksr5735dghdsgwy81.exe','');
     DeleteService('mxfjxrtus435tiksr5735dghdsgwy80');
     QuarantineFile('C:\WINDOWS\mser54waejsrahaetjs6ikaash81.exe','');
     DeleteService('mser54waejsrahaetjs6ikaash80');
     QuarantineFile('C:\WINDOWS\ksrsr6ikruhjstjash353haaaa2hd81.exe','');
     DeleteService('ksrsr6ikruhjstjash353haaaa2hd80');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     DeleteFile('C:\WINDOWS\ksrsr6ikruhjstjash353haaaa2hd81.exe');
     DeleteFile('C:\WINDOWS\mser54waejsrahaetjs6ikaash81.exe');
     DeleteFile('C:\WINDOWS\mxfjxrtus435tiksr5735dghdsgwy81.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
     DeleteFile('C:\Program Files\Manson\liser.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\as1258.exe');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\systemprofile.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\NetworkService.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    3. Файлы NDIS.sys и Ntfs.sys нужно заменить по этой методике

    4. Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    6
    Вес репутации
    54
    Все сделал. Карантин отправил. Пока вроде все нормально.
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\ethsugqu.sys','');
     DeleteService('ethsugqu');
     DeleteFile('C:\WINDOWS\system32\drivers\ethsugqu.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по п. 2 и 3 диагностики
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    6
    Вес репутации
    54
    Все выполнил
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('pcm1394');
     StopService('isadisk');
     StopService('DhcpSrv');
     QuarantineFile('C:\WINDOWS\system32\pcm1394.sys','');
     QuarantineFile('C:\WINDOWS\system32\isadisk.sys','');
     QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
     QuarantineFile('C:\WINDOWS\dhcp\svchost.exe','');
     DeleteFile('C:\WINDOWS\system32\pcm1394.sys');
     DeleteFile('C:\WINDOWS\system32\isadisk.sys');
     DeleteFile('C:\WINDOWS\dhcp\svchost.exe');
     DeleteService('pcm1394');
     DeleteService('isadisk');
     DeleteService('DhcpSrv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('pcm1394');
    BC_DeleteSvc('isadisk');
    BC_DeleteSvc('DhcpSrv');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    6
    Вес репутации
    54
    сделано, но почему то не могу прицепить в форуме лог от Hijack
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от driverx Посмотреть сообщение
    сделано, но почему то не могу прицепить в форуме лог от Hijack
    Вы его по новой сделали или старый закачать пытаетесь?

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    6
    Вес репутации
    54
    Сделал новый

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах ничего подозрительного.
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    6
    Вес репутации
    54
    Спасибо за помощь. Все вроде работает. SP3 накатим, а IE не пользуюсь. Стоит Opera. Java и Acrobat обновим. Ещё раз спасибо.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 142
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\trojan remover\rmt.dta.bak - not-a-virus:FraudTool.Win32.Agent.vq
      2. c:\windows\system32\dllhost.exe - Trojan.Win32.Agent.ctpp
      3. c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Gen:Rootkit.Heur.LmW@fqE90cm )


  • Уважаемый(ая) driverx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost рассылает спам
      От tseytnot в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.02.2010, 17:30
    2. Ответов: 9
      Последнее сообщение: 06.03.2009, 00:16
    3. svchost рассылает спам
      От wais в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 06:40
    4. svchost рассылает спам
      От Andrea в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:15
    5. svchost сошел с ума и рассылает спам!!!
      От localhosts в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.09.2008, 17:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01293 seconds with 18 queries