Привет!!! У меня проблемка, с компа идет большой исходящий трафик! Помоему рассылка!!! Высылаю логи. Заранее благодарю.
Printable View
Привет!!! У меня проблемка, с компа идет большой исходящий трафик! Помоему рассылка!!! Высылаю логи. Заранее благодарю.
[QUOTE=Paukcom;245062]Высылаю логи.[/QUOTE]Почему только 2 лога?
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
4. Фиксить будем, когда будет лог Хайджека
[URL="http://virusinfo.info/showthread.php?t=7239"]5. Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ethrmehf');
DeleteService('NDnet1');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\rtport.sys','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethrmehf.sys','');
QuarantineFile('Pibg32.sys','');
DeleteFile('Pibg32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethrmehf.sys');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
DeleteFile('C:\WINDOWS\herjek.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
6. [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
7. Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
8. Повторите логи.
Вот третий лог!!! Прошу прощения.........
[COLOR="Red"]moderated:::это не лог , а карантин. Его загружать по красной ссылке вверху темы[/COLOR]
Сделал Все как Вы написали. Выполнил скрипт, но рассылка (спам) продолжает идти с этого комьютера.. Высылаю еще раз логи и загружу карантин....
Выполните логи АВЗ то же версией 4.30, как и в Вашем первом сообщении ;) Не забудьте обновить базы.
Выполнил еще раз проверку avz 4.30 с обновленными базами. Спам продолжает идти. Высылаю логи.
Поищите и пришлите файл
[QUOTE]Pibg32.sys[/QUOTE]
согласно приложениям 2 и 3 правил
Ой, а знаете я Вам не смогу скинуть файл Pibg.sys, дело в том, что symantec вспомнил, что он все таки антивирус и пока я занимался логами он удалил этот файл, хотя до этого в упор не видел его. Через поиск, тоже ни чего не нашел. По файеру проверил траффик - все ок, процесс остановился и на 25 порт ни кто не ломиться.
Сделайте, плиз, еще раз логи от п.10 правил :)
Высылаю еще раз логи. Почему то AVZ не создал архив syscheck. Процесс рассылки спама остановлен, после удаления файла Pibg32.sys. Огромное спасибо. Вопрос еще такой если можно? У нас у Всех почта на mail.ru изза рассылки спама не могли они наш айпишник забанить, т.к. входящая почта идет, а отправить не можем.
[QUOTE=Paukcom;250412]Почему то AVZ не создал архив syscheck.[/QUOTE]Ну это же еще не повод, чтобы карантин к теме прикреплять :D
Я его удалил и закачал по правилам ;)
Пофиксите еще для порядка
[CODE]O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\[/CODE]
[QUOTE]входящая почта идет, а отправить не можем.[/QUOTE]
Это уже другая тема :) С провайдером беседовали? Как у Вас вообще устроена почтовая система?
Пофиксил.
А что с ним беседовать? только на переговорах потеряешь. Вообще ни чего сложного у нас в настройке почты нет. У каждого свой ящик и каждый юзает сам по себе. Доменов или почтовых серверов нет (пока). Настроил почту на gmail.com - гугловская, нормально все приходит и отправляеться. Вот теперь интересно как до администрации майла дозвониться, узнать забанили они наш внешний ip или нет?
ethrmehf.sys - Rootkit.Win32.Agent.ayj
herjek.exe_, rtport.sys - чистые
[QUOTE=Alex_Goodwin;250483]ethrmehf.sys - Rootkit.Win32.Agent.ayj[/QUOTE]
Не понял товарищи, что еще вирус есть?
[QUOTE=Paukcom;250492]Не понял товарищи, что еще вирус есть?[/QUOTE]Это просто Информация к размышлению (с) ;)
Фуууххх слава Virusinfo ..., :O обделался легким испугом....;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ethrmehf.sys - [B]Rootkit.Win32.Agent.ayj[/B] (DrWEB: Trojan.Spambot.3354)[/LIST][/LIST]