Здравствуйте.
Заметил вчера странную активность значка сетевого соединения, потом вдруг антивирус стал задерживать письма, которые я не посылал. Проверка куриитом и антивирусом от Симантек (Корпорате последний) ничего не дала.
Логи высылаю.
Printable View
Здравствуйте.
Заметил вчера странную активность значка сетевого соединения, потом вдруг антивирус стал задерживать письма, которые я не посылал. Проверка куриитом и антивирусом от Симантек (Корпорате последний) ничего не дала.
Логи высылаю.
Так всегда бывает, когда часто под админом гуляешь ;)
Отключить соединение с инетом и обязательно Симантек (Корпорате последний) !
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]) :
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('haset32.dll','');
DelBHO('{E8FD36B2-A25B-47e3-9477-82557F5F5995}');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\DOCUME~1\yurist.BSG\LOCALS~1\Temp\winjUXIlGlWcrH.exe','');
TerminateProcessByName('c:\docume~1\yurist.bsg\locals~1\temp\winjuxilglwcrh.exe');
QuarantineFile('c:\docume~1\yurist.bsg\locals~1\temp\winjuxilglwcrh.exe','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
QuarantineFile('c:\windows\system32\rs32net.exe','');
TerminateProcessByName('c:\windows\system32\lanes.exe');
QuarantineFile('c:\windows\system32\lanes.exe','');
DeleteFile('c:\windows\system32\lanes.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('c:\docume~1\yurist.bsg\locals~1\temp\winjuxilglwcrh.exe');
DeleteFile('C:\DOCUME~1\yurist.BSG\LOCALS~1\Temp\winjUXIlGlWcrH.exe');
DeleteFile('haset32.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
*Сделайте повторные логи
P.s. Не забудьте сменить пароли ;)
А письма, которые он начал рассылать, так это вирус вашим респондентам ( те мыльные адреса которые нашёл на вашем компьютере) начал себя рассылать, не удивлюсь если письма будут от вашего имени. Так что, стоит ваших друзей предупредить, чтобы не открывали ;)
P.P.S.Да, заражение по моему произошло 19/11/2008, то есть позавчера.
Да пользователь и не гуляет под админом.
За скрипт спасибо. Вроде вычистилось. Ничего не колышет.
Да вот. Высылаю логи и файл карантина.
Чисто...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\yurist.bsg\\locals~1\\temp\\winjuxilglwcrh.exe - [B]Trojan-Downloader.Win32.Banload.yau[/B] (DrWEB: Trojan.MulDrop.28472)[*] c:\\windows\\system32\\haset32.dll - [B]Trojan-Downloader.Win32.BHO.zp[/B] (DrWEB: Trojan.DownLoad.15091)[*] c:\\windows\\system32\\lanes.exe - [B]Trojan-Clicker.Win32.Delf.bjm[/B] (DrWEB: Trojan.Click.22110)[*] c:\\windows\\system32\\rs32net.exe - [B]Trojan-Downloader.Win32.Agent.aqpo[/B] (DrWEB: BackDoor.Bulknet.320)[/LIST][/LIST]