Компьютер заразился трояном:
После загрузки начинается сетевая активность - идет постоянный исходящий SMTP трафик (SPAM-рассылка).
Не знаю связано ли это, но, кроме того, не работает спулер.
Компьютер заразился трояном:
После загрузки начинается сетевая активность - идет постоянный исходящий SMTP трафик (SPAM-рассылка).
Не знаю связано ли это, но, кроме того, не работает спулер.
Скачайте приложенную программу ((с)Muffler), распакуйте и запустите в безопасном режиме. Потом выполните скрипт в AVZ:
После перезагрузки сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\cp1041.nls'); BC_DeleteFile('c:\cp1041.nls'); ExecuteSysClean; ClearHostsFile; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 19.12.2009 в 04:59.
I am not young enough to know everything...
Выполнил программу и скрипт, новые логи прикрепил.
Заметил, что в реестре постоянно появляется следующий ключ:
[HKEY_USERS\S-1-5-21-583907252-764733703-839522115-1003\Software\Microsoft\Internet Explorer\Security]
"Sending_Security"="Medium"
"Viewing_Security"="Low"
"Safety Warning Level"="Query"
"installation_id"=hex:6f,c2,15,98,2d,0f,b5,48,bc,2 5,be,dc,6b,63,70,fc
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: (no name) - AutorunsDisabled - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Для контроля еще раз сделайте логи, начиная с п.10 правил.Код:begin ClearHostsFile; RebootWindows(false); end.
В общем, Spam-Tool мы с вами успешно удалили, но есть серьезные замечания: во-первых, обязательно установите SP2 + последующие обновления Windows, без них ваша система - решето; во-вторых, антивирус тоже нужен обязательно! Иначе будете завсегдатаем раздела "Помогите!"
I am not young enough to know everything...
Спасибо за помощь!!
Антивирус установлен, просто его снесли на период лечения AVZ (может этого делать и не нужно было, но решили подстраховаться...)
Обновления установим.
Ключ в реестре после исправления ndis спокойно удалился.
Прикрепляю свежие логи
Насторожило, что в скрипте стоит
но винды все равно перезагрузились (или так и должно было быть?)RebootWindows(false);
И может ли кто-то подсказать, что делать со спулером?
Это правильно.винды все равно перезагрузились
Странно, что файл Hosts не очищается, значит кто-то его записывает снова!
Пришлите по правилам файл C:\Program Files\HFXP2\hfxp.exe.
И еще вопрос: Remote Administrator вы сами ставили?
РАдмин я сам ставил, потом снес - на него антивирусы ругались.
Указанный файл - программа HideFoldersXP - прячет указанные каталоги от посторонних глаз.
Выполните скрипт в AVZ:
Присланный файл чистый.Код:begin BC_DeleteSvc('r_server'); BC_Activate; RebootWindows(false); end.
Насчет файла Hosts давайте проверим вручную в AVZ:
1. Файл - Восстановление системы - п.13 - Выполнить.
2. Сервис - Менеджер файла Hosts:
не считая комментариев, должна быть только строка 127.0.0.1 localhost
3. Закрываем AVZ и перезагружаемся.
4. Повторяем п.2, сообщаем результат.
I am not young enough to know everything...
Через п.13 файл hosts не очищался, но зайдя в Сервис-Менеджер файла hosts и удалив вручную все строки кроме localhost, файл сохранился в таком виде и больше не заполняется, даже после перезагрузки.
Видимо, какой-то глюк в AVZ. Ну что ж, как говорится, не мытьем так катаньем. Главное - результат. На всякий случай еще разок сделайте логи начиная с п.10 правил.Через п.13 файл hosts не очищался
I am not young enough to know everything...
Спасибо за помощь!!!
В логах чисто. Настройки прокси-сервера сами прописывали?
Теперь все в порядке! Разве что вот эти службы можно отключить для полной стерильности (полагаю, вы их не используете?):
И не затягивайте с установкой SP2 и далее!Код:O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
I am not young enough to know everything...
Уже все сделали, спасибо огромное!!!!
Советую почитать на досуге вот эту книгу.
Вы можете нас отблагодарить так. Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте тут и тут.
Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.
Удачи!
Есть еще один комп с похожей проблемой, но, вроде, троян другой (а может и нет...)
Мне завести другую тему или можно обсудить это здесь?
Лучше другую.Мне завести другую тему или можно обсудить это здесь?
Уже :-))
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Fortunate, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.