Компьютер рассылает спам

Printable View

21.06.2008, 19:43
Vjick

Вложений: 3

Компьютер рассылает спам

19 июня подцепил какую-то заразу...
После открытия Google Earth попер исходящий трафик. Начал ругаться Symantec Antivirus, что Symantec Email Proxy не может доставить письмо. Стоял 10.1.5000. Еле удалось переустановить Symantec на 10.1.7000, но проблема никуда не ушла. Раз 5 проверял AVZ - ничего подозрительного не нашло. Помимо этого исходящего спама еще на компе оказалась зараза amvo.exe. Начал ее лечить и наткнулся на эту конфу. amvo.exe вылечил, автораны отовсюду удалил, а вот исходящий спам побороть не могу. Причем спамит после перезагрузки минут 10, а потом прекращает. После очередной перезагрузки опять начинает спамить. Прикрепляю аттачами файлы, согласно требованиям.
21.06.2008, 19:58
Rene-gad

1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
[URL="http://virusinfo.info/showthread.php?t=4491"]4. Пофиксите[/URL]
[CODE]O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]5. Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\eyahxxzq.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aab0ehnr.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\aab0ehnr.SYS');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\eyahxxzq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
6. [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
7. Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
8. Повторите логи.
21.06.2008, 22:09
Vjick

Вложений: 3

Спамить перестал. Активности по 25 порту не наблюдается. Сделал новые логи. При открытие в AVZ вкладки: Открытые TCP порты - показывает:
12346 c:\program files\ciberlink\shared files\clml_ntservice\clmlservice.exe вирус NetBus. Что делать?
21.06.2008, 22:34
V_Bond

[QUOTE=Vjick;244714] При открытие в AVZ вкладки: Открытые TCP порты - показывает:
12346 c:\program files\ciberlink\shared files\clml_ntservice\clmlservice.exe вирус NetBus. Что делать?[/QUOTE]
CyberLink - убрать из автозагрузки и запретить ему выход в интернет - делать ему там нечего ;)
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('F:\autorun.inf ');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('F:\f6cavn.bat');
DeleteFile('D:\f6cavn.bat');
DeleteFile('C:\f6cavn.bat');
BC_ImportDeletedList;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....
22.02.2009, 06:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.eej[/B][*] c:\\windows\\system32\\amvo.exe - [B]Worm.Win32.AutoRun.efk[/B] (DrWEB: Trojan.PWS.Wsgame.4983)[*] c:\\windows\\system32\\amvo0.dll - [B]Worm.Win32.AutoRun.efk[/B] (DrWEB: Trojan.PWS.Wsgame.3604)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.eej[/B][*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.eej[/B][/LIST][/LIST]