Несанкционированный спам

**Bodreyka** · 02.02.2010, 00:00

С одного из компов в сети пошел спам. Проверка сегодняшним AVPTool показало наличие packed.win32.krap.ai в процессах svhost и explorer, которые он якобы удалил. Повторная проверка AVPTool наличие вирусов не выявляет. Зато AVZ сообщает "c:\windows\explorer.exe:userini.exe:$DATA Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла". Тестирование проводилось в защищенном и обычном режиме, под локальным админом. Логи прилагаю.

Утром загрузился с LiveCD и запустил AVPTool от 02.02.10. Нашел Trojan.Win32.FraudPack.akrs. Попробую запустить AVZ после удаления.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 02.02.2010, 13:13

Пофиксите в Hijackthis:

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\System32\reader_s.exe','');
 QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
 DeleteFile('C:\WINDOWS\System32\reader_s.exe');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам в обычном режиме

**Bodreyka** · 02.02.2010, 17:41

AVZ уже не ругается на запущенные процессы.

**Bodreyka** · 02.02.2010, 19:41

сделано...

**DefesT** · 03.02.2010, 11:40

Пофиксите в Hijackthis:

Код:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Перезагрузите ПК. Сделайте новый лог - hijackthis.log

**Bodreyka** · 04.02.2010, 10:21

Сделал, как Вы просили...

**DefesT** · 04.02.2010, 16:58

Чисто. Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.

**Bodreyka** · 05.02.2010, 00:39

Большое спасибо!!!

**CyberHelper** · 06.02.2010, 00:39

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Несанкционированный спам (заявка № 69894)

Опции темы

Несанкционированный спам

Результаты после лечения

Итог лечения

Похожие темы

Несанкционированный доступ от моего лица

Несанкционированный входящий трафик

Вирус: несанкционированный исходящий трафик

Зависание ПК и несанкционированный трафик

несанкционированный трафик

Метки для этой темы

Ваши права в разделе