добрый день
помогите, пожалуйста, отловить спам-бот
судя по данным tcpview некий процесс из-под svchost рассылает по разым серверам спам (на 25 порт)
Printable View
добрый день
помогите, пожалуйста, отловить спам-бот
судя по данным tcpview некий процесс из-под svchost рассылает по разым серверам спам (на 25 порт)
Все делать в обычном режиме (не Safe Mode).
Отключите восстановление системы, как написано в правилах.
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Mrw62.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Canto\Corel Cumulus 5 LE\Menu Commands\Catalog\Optimize For Safety.exe','');
QuarantineFile('C:\Program Files\Canto\Corel Cumulus 5 LE\Menu Commands\Special\Hot Folder.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C3SZY12X\1[1].exe','');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Mrw62.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Mrw62.sys');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C3SZY12X\1[1].exe');
DeleteService('Aedidhfi');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('CbEvtSvc');
BC_DeleteSvc('Mrw62');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=28637[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
карантин послал.
логи собираю.
спасибо
PS что-то сегодня сайт ваш частенько недоступен :-(
логи
Ничего плохого.
AVG есть 8-я версия - надо бы обновить.
Сервис Пак 3 поставьте.
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\c3szy12x\\1[1].exe - [B]Trojan.Win32.BHO.bhx[/B][*] c:\\windows\\system32\\drivers\\mrw62.sys - [B]Rootkit.Win32.Agent.byr[/B] (DrWEB: Trojan.MulDrop.17530)[/LIST][/LIST]