неуловимый спам-бот

Printable View

29.02.2008, 01:27
Vinnibig

Вложений: 3

неуловимый спам-бот

Добрый день,

Проблема: периодически symantec выдает много сообщений ([B]symantec[/B] [B]email[/B] [B]proxy)[/B] об ошибках в доставлении неких писем неизвестным адресатам...вообщем на компе сидит спам-бот, ни зон-алярм, ни др.вэб его не видят...

Начал все делать по инструуции:
1. Просканировал с помощь cureit
вроде нашел врага:
Default.SFX C:\Program Files\WinRARBackDoor.IRC.ClonerУдален.

Dc1642.exeStartup C:\RECYCLER\S-1-5-21-1078081533-1292428093-682003330-1003Trojan.Spambot.2936Удален.

A0112544.exe C:\System Volume Information\_restore{E69506A1-484A-4D96-8EF0-EDCCF7D66D26}\RP271Trojan.Spambot.2936Удален.

A0144858.exe C:\System Volume Information\_restore{E69506A1-484A-4D96-8EF0-EDCCF7D66D26}\RP278Trojan.DownLoader.48910Удален.

но через несколько дней опять, причем как правило это происходит в р-не 20-00
Еще важный момент, перед тем как найти вирусы - комп несколько раз перезанружался непрерывно - помогло включение через безопасный режим

Единственный пункт я нарушил: [B][COLOR=#a52a2a]Приложение 1. Как отключить восстановление системы.[/COLOR][/B]
[B][COLOR=#a52a2a][COLOR=black]так как на компе была ценная для меня инфа...[/COLOR] [/COLOR][/B]

[B][COLOR=#a52a2a]Прошу помощи! Заранее спасибо[/COLOR][/B]
29.02.2008, 02:09
pig

Ценную инфу надо сохранять на болванки или дополнительные винчестеры. В восстановлении системы, хранятся также ваши трояны (по крайней мере, пытаются сохраниться, как следует из вашего же описания), поэтому при откате система и их тоже восстановит.
29.02.2008, 20:40
Vinnibig

Вложений: 2

все отключил, но теперь AVZ не ла конца сканирует - прога вырубается...
29.02.2008, 21:18
V_Bond

пофиксите ..
[code]
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
C:\WINDOWS\system32\powermgmt.sys - пришлите согласно приложения 3 правил ...
01.03.2008, 00:41
Vinnibig

пофиксил
файл - послал
у меня тоже этот файл вызывал подозрения - дата у него свежая...
01.03.2008, 00:53
wise-wistful

powermgmt.sys - [b]Trojan.Win32.Agent.fiw[/b].
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('AdvPowerMgmt', 4);
StopService('AdvPowerMgmt');
DeleteFile('C:\WINDOWS\system32\powermgmt.sys');
BC_ImportDeletedList;
BC_DeleteSvc('AdvPowerMgmt');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новый комплект логов.
01.03.2008, 03:17
Vinnibig

Вложений: 2

скрипт ОК

[[COLOR="Red"]moderated: карантин нужно присылать в соответствии с приложением 3 правил[/COLOR]]
01.03.2008, 03:25
Bratez

Уберите virusinfo_cure.zip. Вместо него должен быть virusinfo_syscheck.zip .
22.02.2009, 04:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\powermgmt.sys - [B]Trojan.Win32.Agent.fiw[/B] (DrWEB: Trojan.Spambot.3101)[/LIST][/LIST]