Не отправляется почта.

Printable View

30.07.2008, 00:08
filio

Вложений: 3

Не отправляется почта.

Здраствуйте. помогите пожалуйста. в MS Outlook не отправляется почта. Были вирусы, лечились CuteIt и Nod32. Сейчас ничего не находят. После запуска CuteIt почта начинает отправляться, после перезагрузки опять перестает.
30.07.2008, 00:59
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('smtp_redirect12.dll','');
QuarantineFile('crypt_.dll','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteFile('c:\windows\system32\vhosts.exe');
BC_ImportAll;
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=27260[/url]

Повторите логи.
30.07.2008, 11:27
filio

Вложений: 3

Скрипт выполнил, карантин отослал, логи повторил.
30.07.2008, 12:11
Rene-gad

Пофиксите
[CODE]O20 - AppInit_DLLs: smtp_redirect12.dll
O20 - Winlogon Notify: Crypt - crypt_.dll (file missing)
[/CODE]
Повторите логи начиная от п. 10 правил.
30.07.2008, 23:16
filio

Вложений: 2

Пофиксил. Логи прилагаю. К сожалению, ничего не изменилось(( А был вирус в карантине?
30.07.2008, 23:49
Гриша

В логах чисто...
31.07.2008, 11:06
filio

Что дальше посоветуете? почта так и не работает((
31.07.2008, 11:14
pig

[QUOTE=filio;261174]После запуска CuteIt почта начинает отправляться, после перезагрузки опять перестает.[/QUOTE]
Это так по-прежнему?
31.07.2008, 11:23
Гриша

В порядке бреда удалите Нод и посмотрите решилась ли проблема...
31.07.2008, 11:39
filio

[quote=pig;261668]Это так по-прежнему?[/quote]
да, по прежнему...

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

[quote=Гриша;261673]В порядке бреда удалите Нод и посмотрите решилась ли проблема...[/quote]
ок, попробую..
31.07.2008, 15:27
pig

Выполните ещё такой скрипт:
[code]begin
QuarantineFile('C:\WINDOWS\system32\Drivers\AGP.sys','');
end.[/code]
и пришлите карантин. Может, конечно, оно и в самом деле драйвер AGP, но ведь CureIt что-то там в ядре вроде как снимает.
31.07.2008, 16:43
PavelA

Лог Куре-Ита пришли.

Подсказка:
Лог "CureIt.log" лежит в папке "C:\Documents and Settings\имя пользователя\DoctorWeb"
Проще так: пуск - выполнить - %userprofile%\DoctorWeb
31.07.2008, 19:41
pig

На ДокторВебовском форуме AGP.sys в подозреваемых. Утверждается, что содержит в себе упоминания smtp_redirect12.dll, crypt_.dll и ещё пары файлов, и все упоминаемые, кроме одного, детектируются CureIt как Bulknet. Тот один, который кроме, подозревается эвристиком. Сам AGP.sys не детектируется никак.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 44 минуты[/I][/B][/color][/size]

Всё. На ДокторВебовском форуме замочили этот AGP.sys, и почта пошла.
Там немного другая модификация была, с другими именам файлов.
01.08.2008, 10:52
filio

[quote=pig;261891]На ДокторВебовском форуме AGP.sys в подозреваемых. Утверждается, что содержит в себе упоминания smtp_redirect12.dll, crypt_.dll и ещё пары файлов, и все упоминаемые, кроме одного, детектируются CureIt как Bulknet. Тот один, который кроме, подозревается эвристиком. Сам AGP.sys не детектируется никак.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 час 44 минуты[/I][/B][/COLOR][/SIZE]

Всё. На ДокторВебовском форуме замочили этот AGP.sys, и почта пошла.
Там немного другая модификация была, с другими именам файлов.[/quote]
Нашел сообщение на DrWeb форуме. Да, у меня то же самое. Файлы назывались также, я их переименовал в реестре на всяк случай. Высылаю этот AGP.sys. Как мне его получше замочить, а то из того форума не очень понятно?..
[COLOR="Red"]moderated:::подозрительные файлы присылать согласно приложению 3 правил[/COLOR]
01.08.2008, 11:06
Rene-gad

[QUOTE=filio;262096]Как мне его получше замочить, а то из того форума не очень понятно?..[/QUOTE]
Ничего мочить не надо: На Вирустотал все 7 из 32 дают эвристический детект, т.е. толком никто ничего не знает.
01.08.2008, 12:37
pig

Судя по всему, он не сопротивляется. Давайте такой скрипт попробуем:
[code]begin
SetServiceStart ('AGP',4);
RebootWindows (true);
end.[/code]
04.08.2008, 11:33
filio

В общем, исправил я реестр, чтобы этот agp.sys не загружался. Что править, смотрел тут [url]http://www.threatexpert.com/report.aspx?uid=9e24e396-eda6-49e4-8a6b-2b5d42c9c46b[/url]
Перегрузился, все заработало. Всем большое спасибо! Извините, что не все предписания выполнял, юзер был неадекватный, трудно было получить доступ к компу.
22.02.2009, 06:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\agp.sys - [B]Trojan.Win32.Monder.bvo[/B] (DrWEB: BackDoor.Bulknet.222)[*] c:\\windows\\system32\\vhosts.exe - [B]Trojan.Win32.Buzus.ole[/B] (DrWEB: Trojan.MulDrop.18267)[/LIST][/LIST]