Доброго времени суток!
Касперский предупреждает о "Потенциально опасном ПО
Mass-mailer software" из c:\windows\system32\services.exe.
Осуществляется рассылка писем - рекламного спама.
Расчитываю на Вашу помощь!
С наилучшими.
Mass Mailer - рассылка спама
Доброго времени суток!
Касперский предупреждает о "Потенциально опасном ПО
Mass-mailer software" из c:\windows\system32\services.exe.
Осуществляется рассылка писем - рекламного спама.
Расчитываю на Вашу помощь!
С наилучшими.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
- Выполните скрипт AVZ:Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll (file missing) O2 - BHO: WinInet Class - {39fc2065-c9c7-49cd-8942-44cc2dedc844} - (no file)
Система перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('C:\WINDOWS\system32\00THotkey.exe',''); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\meukyu.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\meukyu.sys'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe'); AddToLog('Удаление скрытого сервиса '+'meukyu'+' - Результат:'+inttostr(BC_ServiceKill('meukyu')) ); BC_ImportAll; ExecuteSysClean; SaveLog(GetAVZDirectory+'avz_log.txt'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 22.12.2009 в 22:36.
Все процедуры выполнены. Логи прикреплены. Карантин не загрузил потому что он пустой - загружать нечего
ЗЫ Правда, в диспетчере устройств появилось какое-то неизвестное устройство, но фиг с ним вобщем
При попытке сохранить этот самый лог ХРюша свалилась в жёсткий висяк с последующим крашем, хрюкнув напоследок: "Taskmgr.exe - сбой инициализации DLL".
Рассылка спама вроде бы прекратилась и Касперский пока не ругается. Спасибо за помощь. Понаблюдаю ещё. Если вдруг что - сообщу
С наилучшими.
Всё-таки лог попробуйте сделать и выложить. Мы ведь так ничего и не отловили ещё, инфекция активна.
Да, действительно, рассылка спама продолжается.
Лог GMER-а сделал. Кстати, прога предупредила об изменениях в системе вызванных деятельностью руткитов.
Загрузитесь с LiveCD и удалите C:\WINDOWS\system32\Drivers\meukyu.sys
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А ещё лучше - переместите его в архив с паролем virus и пришлите к нам в Карантин.
А можно, для чайника в танке,Сообщение от gjf
по пунктам объяснить как осуществить эту операцию (как переместить в архив с паролем).
ЗЫ кстати, на данный момент, "больному" стало хуже - система загружается через раз, через синий/черный экран, через ж..у короче
Пока качаю Drweb_LiveCd. Но сначала попробую выслать этот файл Вам Карантином, когда пойму как
1. Загрузитесь с LiveCD.
2. Найдите C:\WINDOWS\system32\Drivers\meukyu.sys.
3. Переместите этот файл в любую другую папку, сожмите там в zip-архив с паролем virus.
4. Загрузитесь в обычном режиме.
5. Пришлите созданный архив в Карантин по красной ссылке вверху этой страницы.
Спасибо! Пойду разбираться...
Загрузился с DrWeb Live CD, с помощью Commander'a нашёл этот файл и скопировал в другую папку. Но как заархивировать этот файл, находясь в этом коммандере, не понимаю.
Объясните пожалуйста!
Загрузитесь в обычной системе - думаю, в ней у Вас архиваторов предостаточно для этих целей. Только не забудьте сразу отключить антивирус, а то он убьёт файл до того, как Вы его заархивируете. Включите его после создания архива с паролем.
Данный файл, в обычном режиме работы ОС, архивировать невозможно - вылетает следующее окошко (WinRar):
"Диагностические сообщения
Невозможно открыть "такой-то файл"
Присоединенное к системе устройство не работает"
Вы антивирус отключили, как Вам было сказано?
Да, пробовал архивировать при отключенном антивирусе (Касперский).
Выложите файл, как есть, на любом ресурсе в сети и скиньте ссылку мне в личном сообщении.
И это тоже не получается - вылетает сообщение "файл не найден".
Вот ещё что, если вызвать окно свойств этого файла, в этом окне отсутствуют вкладки "версия" и "сводка".
Кроме этого, в корне лог. диска "D" (папка Windows на "С") появились файлы размером 500 МБ каждый, с названиями .fuse_hidden0000000200000001, .fuse_hidden0000000200000002, и т.д. Семь штук уже
Последний раз редактировалось MartinMcConnel; 25.12.2009 в 00:11.
Хорошо, беру таймаут на совещание.
Добавлено через 36 минут
1. Загрузитесь ещё раз с LiveCD.
2. Найдите C:\WINDOWS\system32\Drivers\meukyu.sys
3. Переместите (не скопируйте!) файл в другую папку.
4. Переименуйте файл в drv.111
5. Загрузитесь как обычно, отключите антивирус и заархивируйте файл drv.111 в zip-архив с паролем virus.
6. Пришлите архив в карантин.
7. Файл drv.111 и архив удалите.
Так получилось?
Последний раз редактировалось gjf; 25.12.2009 в 01:26. Причина: Добавлено
Уважаемый(ая) MartinMcConnel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
