SpamTool в Temp.

Printable View

06.12.2008, 00:36
ZAP!

SpamTool в Temp.

Здравствуйте!На этот раз такая проблемка:В C/Temp появляются заражённые файлы(AVZ видит их как подозрительные на spamTool.win32.small.z).Dr.web вообще их невидит.Как захожу в и-нет - вроде всё нормально(Firewall молчит,TeaTimer тоже) , запускаю аську-тоже всё в норме.Но потом начинает палить трафик.Также затем появляетсяв C/temp Trojan.Backdoor . Высылаю логи.
06.12.2008, 00:50
Aleksandra

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
ExecuteAVUpdate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]Повторите логи.
06.12.2008, 01:07
ZAP!

Новые логи:
06.12.2008, 01:57
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\B.tmp','');
QuarantineFile('C:\Temp\8.tmp','');
QuarantineFile('C:\Temp\A.tmp','');
QuarantineFile('C:\Temp\5.tmp','');
QuarantineFile('C:\Temp\2.tmp','');
QuarantineFile('c:\temp\a.tmp','');
DeleteFile('C:\TEMP\B.tmp');
DeleteFile('c:\temp\a.tmp');
DeleteFile('C:\Temp\2.tmp');
DeleteFile('C:\Temp\5.tmp');
DeleteFile('C:\Temp\A.tmp');
DeleteFile('C:\Temp\8.tmp');
DeleteFileMask('C:\Temp','*.*',true);
DeleteDirectory('C:\Temp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=35192[/URL]

3. Повторите логи.
06.12.2008, 02:32
ZAP!

Всё равно появляется в C/Temp/ . Карантин отправил(
[SIZE=1]Файл сохранён как[/SIZE][SIZE=1]081205_173151_virus_4939b9e7bbd38.zip[/SIZE][SIZE=1]Размер файла[/SIZE][SIZE=1]166909[/SIZE][SIZE=1]MD5[/SIZE][SIZE=1]d510c2e1f19a354f8a63a9c6a23e69c1[/SIZE]
[SIZE=1].)[/SIZE]
Новые логи:
06.12.2008, 14:18
ZAP!

всё равно гонит трафик в обе стороны! (Jetico) Firewall указывает на активность "Root" - причём перекрывая это-firewall не позволяет вообще принимать и отправлять пакеты.помогите пожалуйста!
06.12.2008, 14:37
Гриша

Очистите временные файлы, кеш браузера, сделайте полную проверку AVPTool и повторите логи...
06.12.2008, 15:15
ZAP!

Всё равно пояяется Backdoor и spamtool.win32.small.z в c/temp - причём качает с нета.Вот логи:
06.12.2008, 23:08
ZAP!

ау люди!ну помогите пожулуйста.
07.12.2008, 09:19
Aleksandra

Проверку компьютера с помощью AVPTool делали?
07.12.2008, 22:03
Aleksandra

У Вас хитрый зловред, которого не видно в логах в явном виде...

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
07.12.2008, 23:22
ZAP!

AVP прогнал весь жёсткий-нашёл впринципе то же самое а также несколько троянов в папке system32 - после чего их удалил.Gmer'ом проверил , вот логи:
08.12.2008, 00:42
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Settings\arm64.dll','');
QuarantineFile('C:\Settings\arm80.dll','');
DeleteFile('C:\Settings\arm64.dll');
DeleteFile('C:\Settings\arm80.dll');
DeleteFileMask('C:\Temp','*.*',true);
DeleteDirectory('C:\Temp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=35192[/URL]

3. Очистите временные файлы, кеш браузера и повторите логи...
08.12.2008, 01:32
ZAP!

карантин выслал. Новые логи:
08.12.2008, 01:52
Aleksandra

Остались ли какие-нибудь проблемы?
08.12.2008, 10:32
ZAP!

Пока вроде всё норм-спасибо большое.
22.02.2009, 09:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\as\\doctorweb\\quarantine\\b.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\documents and settings\\as\\doctorweb\\quarantine\\d.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\documents and settings\\as\\doctorweb\\quarantine\\f.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\documents and settings\\as\\doctorweb\\quarantine\\11.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\documents and settings\\as\\doctorweb\\quarantine\\13.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\documents and settings\\as\\doctorweb\\quarantine\\15.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\documents and settings\\as\\doctorweb\\quarantine\\9.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\settings\\arm64.dll - [B]Trojan.Win32.Agent.aqfj[/B][*] c:\\settings\\arm80.dll - [B]Trojan.Win32.Agent.asuw[/B][*] c:\\temp\\a.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\temp\\b.tmp - [B]Trojan-Mailfinder.Win32.Small.al[/B] (DrWEB: Trojan.EmailSpy.184)[*] c:\\temp\\1.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\temp\\2.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\temp\\5.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\temp\\8.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\2008-12-08\\bcqr00001.dta - [B]Trojan.Win32.Agent.aqfj[/B][*] \\2008-12-08\\bcqr00002.dta - [B]Trojan.Win32.Agent.aqfj[/B][*] \\2008-12-08\\bcqr00003.dta - [B]Trojan.Win32.Agent.asuw[/B][*] \\2008-12-08\\bcqr00004.dta - [B]Trojan.Win32.Agent.asuw[/B][/LIST][/LIST]