Показано с 1 по 19 из 19.

Летит спам (заявка № 65031)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26

    Thumbs up Летит спам

    На компе стоит аська с которой систематически летит спам. Так же была замечена отправка спама с одноклассников. Посмотрите пожалуйста, может засел какой зловред.
    Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    "Пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: (no name) - DctMapping - (no file)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winej73.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
    BC_ImportDeletedList;
     BC_DeleteSvc('Winej73');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Выполните это http://virusinfo.info/showthread.php?t=3519
    Повторите логи по правилам.

    Меняйте пароли на аськи, контакты, однокласники...

  4. #3
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26
    скрипт не выполняется, выдаёт странность (см. скрин) странность по моему мнению заключается в том что во время ошибки в диспетчере задач появляется второй AVZ в режиме "не отвечает". F:\ это сидюк.
    Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.

  5. #4
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26
    в данный момент качаю полиморфный AVZ

    Добавлено через 13 минут

    полиморф так же отказался работать ссылаясь на отсутствующий диск в приводе.
    Последний раз редактировалось 3BEPEK; 25.12.2009 в 13:48. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Попробуйте так
    Код:
    begin
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winej73.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
    BC_ImportDeletedList;
     BC_DeleteSvc('Winej73');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  7. #6
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26
    пишет: ошибка прямого чтения C:\WINDOWS\winlogon.exe. При потыке добавить в карантин - ошибка. Прошу принять во внимание что работоспособность оси на данном компьютере критически важна.

    Добавлено через 1 минуту

    и так же выдаёт ошибку В устройстве нет диска... (см. скрин)

    Добавлено через 2 минуты

    А что если попытатся задействовать Бут Клинер и на попытку карантина, ведь судя по времени возникновения ошибки чтения диска, авз успевает выполнить часть скрипта... ИМХО

    Добавлено через 6 минут

    Теперь при попытке запустить авз, а также полиморфный (пытался несколько раз переименовать в случайный набор символов) авз не запускается. Ошибка: Отказано в доступе к указанному устройству, папке или файлу. Возможно, у вас недостаточно прав доступа к этому обьекту.

    Буквально 10 минут назад всё было нормально

    Добавлено через 9 минут

    regedit так же не запускается

    Добавлено через 39 минут

    ап

    Добавлено через 4 минуты

    При сканировании системы антивирусом НОД32 с сегодняобновлёнными базами было обнаружено:

    Код:
    C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QEZ - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован
    C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QF0 - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован
    C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QF2 - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован
    
    C:\Documents and Settings\leader\Рабочий стол\все\Новая папка\Новая папка (4)\e_mail\opz_install\opz\FOP\ansi2oem.exe - вероятно модифицированный  Win32/Agent  троянская программа - очищен удалением - изолирован
    
    C:\opz\opzfull-1.15-setup.exe » NSIS » ansi2oem.exe - вероятно модифицированный  Win32/Agent  троянская программа
    C:\opz\opzupd-1[1].15-setup.exe » NSIS » ansi2oem.exe - вероятно модифицированный  Win32/Agent  троянская программа
    Добавлено через 1 минуту

    После перезагрузки компа, доступ к файлам восстановился, в том числе и к авз. Жду дальнейших указаний.
    Последний раз редактировалось 3BEPEK; 25.12.2009 в 17:17. Причина: Добавлено

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Попробуйте OSAM. Ссылки под рукой нет, но думаю найдете.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26
    ССылочка вот http://www.online-solutions.ru/products/downloads.html

    Сделал лог:
    Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выпонить скрипт:
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\ane6dk70.sys','');
    DeleteFile('C:\WINDOWS\system32\drivers\ane6dk70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
     bc_DeleteSvc('Winej73');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать, если что-то попадет в карантин.
    Повторить логи AVZ и OSAM
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26
    Итак, попорядку.

    Скрипт с поста #9 выполнил, на перезагрузке повис, заставил перезагрузиться "пальчиком". В карантин ничего не попало. Выполнил сканирование OSAMoм, который выявил маскирующийся файл ammprao1.sys (не гуглится)

    Выполнил 2 и 3 стандартный скрипт, во время которых в карантин попал файл kjhs12df978.pif - переименованый мною полиморфный авз (при проблемах с ограничением доступа к файлам).

    Для экономии времени выполнил:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\ammprao1.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Так же, с целью экономии времени, выполнил сканирование gmer'ом. Все логи ниже. Карантин отправлен.
    Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Предложение будет таким: попробовать скопировать данный драйвер с именем типа
    ammprao1.sys при помощи Гмера и прислать только его.

    Есть, правда, подозрение, что опять чей-ьто временный драйвер, которого реально на диске нет и появляется он только в памяти.
    ice-time.dll - ломалка от Нода, наверное.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Цитата Сообщение от PavelA Посмотреть сообщение
    ammprao1.sys
    Это эмулятор IDE\ATAPI. Имя меняется при каждой перезагрузке и имеет вид a*******.sys

    Цитата Сообщение от PavelA Посмотреть сообщение
    ice-time.dll - ломалка от Нода, наверное
    Скорее от Касперского
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    thyrex, Там только Нод стоит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Цитата Сообщение от PavelA Посмотреть сообщение
    thyrex, Там только Нод стоит.
    Возможно стоял раньше. Это заморозка триала именно от Касперского. О том, что она идет и к Нод не слышал
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26
    По поводу ice-time.dll понятно. Это заморозка триального ключика от Касперского (чистосердечно признаюсь). В логах больше ничего подозрительного не видно?

    Добавлено через 11 минут

    Возможно, ограничение доступа к файлам и "органам управления" компьютером было вызвано "локальной ошибкой" после выполниения рекомендаций из поста #2, нежели от целенаправленных действий зловреда.
    Последний раз редактировалось 3BEPEK; 27.12.2009 в 16:41. Причина: Добавлено

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Скрипт верный был.

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(19);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Помогло?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    06.11.2009
    Адрес
    Украина, Черкассы
    Сообщений
    64
    Вес репутации
    26
    Цитата Сообщение от thyrex Посмотреть сообщение
    Скрипт верный был.
    Я не утверждаю что скрипт был не верный. Я говорю лишь о том что вероятно какой-то компонент не правильно отреагировал на выполнение скрипта, что вызвало ограничение доступа к файлам.

    Последний рекомендуемый скрипт выполнил. Явных нареканий на работу компьютера не наблюдаю.

    Добавлено через 4 минуты

    Ещё есть вопрос, информативного характера. В последнем логе гмера заметил запущеный C:\DOCUME~1\leader\LOCALS~1\Temp\uxlyipod.sys

    Смущает папка откуда запускается и уникальность имени.
    Последний раз редактировалось 3BEPEK; 28.12.2009 в 15:18. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    C:\DOCUME~1\leader\LOCALS~1\Temp\uxlyipod.sys
    Драйвер от гмера.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,528
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) 3BEPEK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Трафик летит
      От Yaesufc в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.06.2010, 06:54
    2. Летит трафик
      От xlor3 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.12.2009, 21:41
    3. Летит трафик 2
      От xlor3 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.12.2009, 17:14
    4. летит винда
      От андрей анд в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.02.2009, 03:59
    5. летит траффик..
      От shoira в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.07.2008, 18:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00211 seconds with 23 queries