Очередной трабл trojan.spambot.6605

**Andrey_pro** · 14.01.2010, 16:14

CureIt детектирует как trojan.spambot.6605 удаляет и опять по кругу...
исчезла языковая панель, что есть печально
сайты вирус инфо и дрвеб и прочие уходят на гугл...
очень страшный файл хостс...

Запрошенный карантин:
Файл сохранён как 100114_184639_virus_4b4f3c5f63e10.zip
Размер файла 1181
MD5 54455edfe0108e65d90244490ec37e7c

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Andrey_pro** · 14.01.2010, 21:05

Запрошенный карантин
Файл сохранён как 100114_205621_virus_4b4f5ac5762d5.zip
Размер файла11048655
MD56c9ee57f05aab5fb4c1d078033f95677

**DefesT** · 14.01.2010, 21:39

1) Кто у Вас карантин запрашивал?
2) Зачем используете полиморфный AVZ?
Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\wlcommn.exe');
 QuarantineFile('c:\windows\system32\wlcommn.exe','');
 DeleteFile('c:\windows\system32\wlcommn.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам обычным AVZ.

**Andrey_pro** · 14.01.2010, 23:11

Запрошенный карантин:
Файл сохранён как 100114_231050_virus_4b4f7a4a3ddda.zip
Размер файла 6208058
MD5 3df57cb8acdffaa18f3e1390c65ff6a2

**DefesT** · 15.01.2010, 00:19

Сделайте логи обычным АВЗ с обновленными базами. В каком файле CureIT находит зловреда?

**Andrey_pro** · 15.01.2010, 20:03

в файле secupdat.dat

**DefesT** · 15.01.2010, 21:35

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Андрей\application data\microsoft\loogotta.exe');
 QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\kevoocip.exe','');
 QuarantineFile('C:\WINDOWS\system32\kevoocip.exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\kevoocip.exe','');
 QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\zyrynnemap.exe','');
 QuarantineFile('c:\documents and settings\Андрей\application data\microsoft\loogotta.exe','');
 QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\loogotta.exe','');
 QuarantineFile('C:\WINDOWS\system32\qxzv5.exe','');
 DeleteService('jihyjk33ewoyooip');
 DeleteFile('C:\WINDOWS\system32\qxzv5.exe');
 DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\kevoocip.exe');
 DeleteFile('c:\documents and settings\Андрей\application data\microsoft\loogotta.exe');
 DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\zyrynnemap.exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\kevoocip.exe');
 DeleteFile('C:\WINDOWS\system32\kevoocip.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','zoozouqu');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','zoozouqu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zoozouqu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zoozouqu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','zoozouqu');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам.

**Andrey_pro** · 15.01.2010, 22:20

Файл сохранён как 100115_221958_virus_4b50bfde1345b.zip
Размер файла 613091
MD5 9cbd2dc0d8e670889a7a8253de30301b

**DefesT** · 16.01.2010, 10:55

Пофиксите в Hijackthis:

Код:

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)

Больше ничего подозрительного. Что с проблемой?

**Andrey_pro** · 16.01.2010, 13:36

все ок спс

**CyberHelper** · 17.01.2010, 13:36

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 31
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\wlcommn.exe - Backdoor.Win32.SdBot.qxy ( DrWEB: BackDoor.IRC.Sdbot.8011, BitDefender: Backdoor.Agent.AAKZ, NOD32: Win32/AutoRun.IRCBot.DZ worm, AVAST4: Win32:Trojan-gen )

Очередной трабл trojan.spambot.6605 (заявка № 67226)

Опции темы

Очередной трабл trojan.spambot.6605

Итог лечения

Похожие темы

Trojan.Spambot.origin и Trojan.Siggen.18257

Trojan.Spambot.origin и Trojan.Siggen.18257 - пытаемся вылечить руками

Наловила... Trojаn.spаmbot.4492, BаckDoor.Tofsee, Trojаn.Siggen.38256.

Trojan.Spambot.2559, Trojan.Inject.544, Trojan.Proxy.2373, Trojan.MulDrop.9764 и др.

Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478

Ваши права в разделе