Рассылка почты!!!Вирусы?

Printable View

21.01.2009, 23:48
Ura_NE

Вложений: 1

Рассылка почты!!!Вирусы?

Сегодня во время просмотра интернет страниц аваст обнаружил вирус я удалил. Через пару минут обнаружил вирус в файле windows/file.dat, его аваст удалить не может (файл занят...). Еще я заметил переодическое обращения к дисковводу, и при подключении к нету аваст собщает о многочисленной рассылке писемь. А при выходе с системы еще пишет какуюто ошыбку (прочитать не реально). Помогите плз.
22.01.2009, 03:49
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('C:\Documents and Settings\Юра\Юра.exe','');
QuarantineFile('C:\Documents and Settings\Юра\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Юра\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\Documents and Settings\Юра\svchost.exe');
DeleteFile('C:\Documents and Settings\Юра\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\Documents and Settings\Юра\Юра.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_DeleteSvc('Schedule');
BC_DeleteSvc('securentm');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=37968[/url]

3. Повторите логи.
22.01.2009, 14:04
Ura_NE

Вложений: 2

Скрипт выполнил. Рассылка не прикратилась. Еще заметил что отключен Брандмауэр (до вирусов был включен) и нельзя его включить. Карантин выслал.
И новые логи.
22.01.2009, 14:27
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFileMask('%tmp% ','*.* ',true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('fips32cup');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
22.02.2009, 10:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\svchost.exe - [B]Backdoor.Win32.SdBot.jqv[/B] (DrWEB: Win32.HLLW.Brutus.4667)[*] c:\\documents and settings\\юра\\svchost.exe - [B]Backdoor.Win32.SdBot.jqv[/B] (DrWEB: Win32.HLLW.Brutus.4667)[*] c:\\documents and settings\\юра\\главное меню\\программы\\автозагрузка\\userinit.exe - [B]Backdoor.Win32.SdBot.jqv[/B] (DrWEB: Win32.HLLW.Brutus.4667)[*] c:\\program files\\microsoft common\\svchost.exe - [B]Email-Worm.Win32.Agent.ki[/B][*] c:\\windows\\services.exe - [B]Email-Worm.Win32.Joleee.ez[/B][*] c:\\windows\\system32\\drivers\\services.exe - [B]Backdoor.Win32.SdBot.jqv[/B] (DrWEB: Win32.HLLW.Brutus.4667)[/LIST][/LIST]