trojan.spambot

[xcore]

Привет.

Сразу извиняюсь, если тема была - поймал эту тварь откуда-то. Помимо моей домашней машиной жила еще на десятке конторских.

Симптомы: одновременная рассылка почты (спама? траффик не анализировал) по нескольким серверам, поддержка сессии с 208.66.194.235:2529, неудаляемый файл \windows\system32\odbcmr32.dll

Логи прикрепил. Загрузчик (который доктор-веб в рабочем состоянии не опознавал, только отключенным) могу выслать.

Ниже ключ из реестра:

Код:

 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WinMedia"="C:\\DOCUME~1\\x\\LOCALS~1\\Temp\\loaderc178789437.exe"

p.s.: занимаюсь самолечением и понимаю, что добром сие может и не кончиться. С радостью приму комментарии. На данный момент, как мне кажется, проблема решена.

[MOCT]

загрузчик и \windows\system32\odbcmr32.dll присылайте по правилам форума.
также пришлите:
C:\DOCUME~1\x\LOCALS~1\Temp\loaderc178789437.exe

пофиксите в HijackThis строчки вида:
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\x\LOCALS~1\Temp\loaderc178789437.exe
O21 - SSODL: odb_set - {204DD0F8-01C8-4D16-B3E0-E089A9665727} - (no file)

[xcore]

odbcmr32.dll переписать не получилось, поскольку: 1) была только при действующем трояне, 2) не давала себя читать.
Если без нее исследование не завершить, заражу систему по-новой :-)

Файл сохранён как 061124_150529_00quarantine_456750895fbff.rar
Размер файла 2655
MD5 02f4bfe24e238fc0b3c9e0dd6a904c8c

Спасибо!

[MOCT]

присланный файл - троян. после его удаления система будет чистой. удалить можно с помощью отложенного удаления в AVZ.

[xcore]

Благодарю вас.