Почтовая рассылка

Printable View

16.05.2008, 14:13
gss1234

Почтовая рассылка

Помогите справиться. С одного (вернее теперь уже с двух) компьютера в сети идет почтовая рассылка (в очень большом объеме). CureIt и AVZ сразу же вгоняют компьютер в перезагрузку. В безопасном режиме запустить ничего не могу, т.к. winlogon грузит процессор на 100%. Сделал логи, чем смог: Hijack и gmer. Symantec ничего не находит. Что делать?
16.05.2008, 14:15
Гриша

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачайте [/URL],меню,File,появится аналог проводника,найти:[B]Osd39.sys [/B] ,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно,после этого сделайте логи.
16.05.2008, 15:18
gss1234

Похоже помогло.

[quote=Гриша;227866][URL="http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip"]Скачайте [/URL],меню,File,появится аналог проводника,найти:[B]Osd39.sys [/B] ,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно,после этого сделайте логи.[/quote]

Логи вышлю по готовности.
16.05.2008, 15:36
gss1234

Высылаю логи

Высылаю логи
16.05.2008, 15:42
Гриша

Отключите антивирус!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('subsys.dll','');
QuarantineFile('C:\WINDOWS\system32\subsys.dll','');
DeleteService('Osd39');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Osd39 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22948[/url]
16.05.2008, 16:04
gss1234

Готово

Спасибо, помогло.
16.05.2008, 16:09
Гриша

subsys.dll-[B]Trojan-Downloader.Win32.Small.vuy[/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\subsys.dll');
DeleteFile('subsys.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи начиная с п.10 правил