Printable View
Касперский постоянно обнаруживает:
Потенциально опасное ПО:
Mass-mailer software
c:\windows\system32\services.exe
Процесс осуществляет массовую рассылку почты
Но лечить не хочет. Поэтому сетевой трафик полностью забит,
да и кто-то еще страдает, принимая мусор (не по моей воле) от меня.
Жду рекомендаций, файлы прилагаются.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните вот такой скрипт в AVZ[/URL].
AVZ -> Меню Файл -> Выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\lzx32.sys','');
QuarantineFile('C:\WINDOWS\v7.exe','');
QuarantineFile('C:\WINDOWS\vmmreg32.exe','');
QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\System32\rpcc.exe','');
QuarantineFile('C:\WINDOWS\System32\kernels32.exe','');
QuarantineFile('C:\WINDOWS\System32\adirss.exe','');
QuarantineFile('C:\WINDOWS\System32\adirka.exe','');
DeleteFile('C:\WINDOWS\System32\lzx32.sys');
BC_DeleteSvc('lzx32');
BC_ImportALL;
BC_Activate;
RebootWindows(false);
end.
[/code]
После выполнения скрипта, компьютер перезагрузится.
После перезагрузки, пришлите попавшие в карантин файлы согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правилам.[/URL] (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Скрипт выполнил, карантинные файлы (очень много, думаю некоторые там по недоразумению) отправил, жду дальнейших указаний...
Благодарю за отклик.
Не дожидаясь ответа анлитиков, могу сразу сказать, что мы у вас убили новую версию [B]Trojan-Clicker.Win32.Costrat[/B].
[size="1"][color="#666686"][B]Добавлено через 7 минут[/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните вот такой скрипт в AVZ[/URL].
AVZ -> Меню Файл -> Выполнить скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('v7.exe');
DeleteFile('C:\WINDOWS\vmmreg32.exe');
DeleteFile('C:\WINDOWS\System32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\System32\rpcc.exe');
DeleteFile('C:\WINDOWS\System32\kernels32.exe');
DeleteFile('C:\WINDOWS\System32\adirss.exe');
DeleteFile('C:\WINDOWS\System32\adirka.exe');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта, компьютер перезагрузится.
После перезагрузки, повторите [U][B]все три лога[/B] по правилам[/U].
Очередной скрипт выполнен, логи прилагаются.
Жду дальнейших советов...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните вот такой скрипт в AVZ[/URL].
AVZ -> Меню Файл -> Выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32:lzx32.sys:$DATA',' ');
QuarantineFile('C:\WINDOWS\system32:lzx32.sys',' ');
DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/code]
После выполнения скрипта, компьютер перезагрузится.
После перезагрузки, пришлите попавшие в карантин файлы согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правилам.[/URL] (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Скрипт выполнен, карантинные файлы отправлены.
Жду дальнейших указаний...
Пофиксите в HijackThis вот эти строки:
[CODE]O20 - AppInit_DLLs:
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi17014.exe (file missing)[/CODE]
Активного заражения больше невидно.
Ещё жалобы есть?
Последнее действие выполнил, вроде жалоб больше нет:
сетевой трафик теперь успокоился и похож на течение Днепра в его нижнем течении в отличие от предыдущего Терека в его верхнем течении.
Большое спасибо от рядового пользователя сети (хотя и с большим стажем программиста) Вашей бескорыстной службе ~virus.911
Сделайте ещё раз лог HijackThis.
Пожалуйста, лог-файл...
всё ок, только желательно отключить не нужные сервисы (типа нет митинг и справку удалённого стола)Также если месенжером от logitech не пользуетесь, удалить.У вас же скайп есть;)
Удалите старую версию касперского и поставьте новую.
Чтобы уменьшить шанс заражения, советую на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
Благодарю за хлопоты. А с содержимым каталога Quarantine можно расправиться - в смысле удалить?
можно удалить, можно на память оставить- ваше право ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32:lzx32.sys - [B]Trojan-Clicker.Win32.Costrat.bc[/B] (DrWEB: Trojan.Spambot)[*] c:\\windows\\system32:lzx32.sys:$data - [B]Trojan-Clicker.Win32.Costrat.bc[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]