Printable View
[FONT=Times New Roman][SIZE=3]Добрый день! Поймал спам рассыльщика. Symantec AntiVirus стал выдавать окно Email Proxy и стали отправляться сами письма. Проверял разными антивирусами они нашли по мелочам но избавится так и не смог от Email Proxy. Хотел попросить вашего совета. Файлы прикрепляю.[/SIZE][/FONT]
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\SIODRV.SYS','');
QuarantineFile('\SystemRoot\System32\Drivers\SYMTDI.SYS','');
QuarantineFile('system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe');
AutoFixSPI;
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
выполните скрипт ...
[code]
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]
Огромное спасибо за быстрый ответ, но после чистки многими антивирусами система начала рассыпаться, поэтому я откатил из бэкапа к тому с чего начинал и сделал новые архивы. Да вот еще вызвал подозрение файл svchost.exe по размеру, подписи и дате создания 4 августа 2004 все нормально, а вот дата изменения совпадает с датой когда начались проблемы это 10 октября 2007. Буду благодарен за рекомендации по новым архивам.
1.Пофиксить ( hijack this )
[code]O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe[/code]
2.В avz выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak');
BC_DeleteSvc('FCI');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
3. Временные файлы почистить , и сделать новые логи.
карантин прислать по ссылке в шапке .
[FONT=Times New Roman][SIZE=3]drongo[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Сделал все как ты написал. Новые логии прикрепляю и карантин отправляю.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Спасибо.[/SIZE][/FONT]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\NavLogon.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\msdnc8.exe');
BC_DeleteFile('C:\WINDOWS\system32\msdnc8.exe');
BC_QrSvc('lanmanworkstationclr_optimization_v2.0.50727_32');
BC_DeleteSvc('lanmanworkstationclr_optimization_v2.0.50727_32');
BC_Activate;
RebootWindows(true);
end.
[/code]
Карантин пришлите опять...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Из карантина:
[b]not-a-virus:AdWare.Win32.BHO.kj[/b] C:\Program Files\ConnectionServices\ConnectionServices.dll
[b]not-a-virus:AdWare.Win32.BHO.qs[/b] C:\Program Files\ConnectionServices\ConnectionServices.dll.bak
rubin
Спасибо за помощь. Карантин выслал.
Файлик чистый. Проблемы остались?
rubin
Спасибо большое вам за помощь и всем остальным. Но пока ответить не могу т к комп не подключен к инету. Как подключу то отпишусь.
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Что из этого Вам не нужно?
rubin
Комп не мой. Попросили помочь. Я так думаю что это можно все отключить.
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
Всем огромное спасибо. Вроде как второй день нет исходящей почты самой по себе.
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
rubin
Спасибо вам за совет. А сбор должен происходить по каким-то правилам, на любой машине или которая лечилась???
На любой, нам важны сами собранные файлы для улучшения AVZ
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll.bak - [B]Trojan.Win32.ConnectionServices.j[/B] (DrWEB: Trojan.BitAcc)[/LIST][/LIST]