Словил спам-бот

Printable View

03.02.2009, 13:45
SergeSerge

Словил спам-бот

Лезет в и-нет на 206.51.231.148
Если разрешить, то начинается:
22:26:05 svchost.exe ИСХ UDP ns2.agava.net.ru DNS
22:26:05 svchost.exe ИСХ TCP 213.189.198.6 SMTP
22:26:05 svchost.exe ИСХ UDP 193.124.83.69 DNS
22:26:05 svchost.exe ИСХ TCP 212.53.64.43 SMTP
22:26:05 svchost.exe ИСХ UDP 192.93.0.4 DNS
22:26:05 svchost.exe ИСХ UDP 209.173.58.65 DNS
22:26:05 svchost.exe ИСХ UDP ns.ripn.net DNS
22:26:04 svchost.exe ИСХ UDP e.dns.ripn.net DNS
22:26:04 svchost.exe ИСХ UDP 212.107.223.7 DNS
22:26:04 svchost.exe ИСХ UDP 83.242.140.11 DNS
22:26:04 svchost.exe ИСХ UDP 83.242.139.21 DNS
22:26:04 svchost.exe ИСХ UDP ns2.slavhost.com DNS
и т.д.
В папке Win/Temp есть неудаляемый файл Vdm6.tmp и Jetaeae.tmp
Спасибо.
03.02.2009, 13:51
drongo

Прочитайте внимательно [url]http://virusinfo.info/showthread.php?t=1235[/url]. там указано как делать логи avz, ваше творение удалите.
03.02.2009, 15:45
SergeSerge

Понял, спасибо.
Не смог найти как удалять вложенные файлы.
03.02.2009, 16:11
light59

В личном кабинете- "Вложения"
03.02.2009, 20:25
SergeSerge

Вложений: 3

Сделал все по инструкции, но: не могу отключить восстановление системы, нет соответствующей вкладки и папка System Volume Information-отказано в доступе при всех включенных разрешениях.
Проверка антивирусом единственно что показала- файл ati0umxx -отказано в доступе.
03.02.2009, 20:30
light59

Скачать этот AVZ [URL="http://depositfiles.com/files/5k0qihqas"]http://depositfiles.com/files/5k0qihqas[/URL]
Отключите файервол перед выполнением скрипта
[URL="http://virusinfo.info/showthread.php?t=7239"]В скаченом AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
QuarantineFile('C:\WINDOWS\tsnpstd3.exe','');
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
DeleteService('ati0umxx');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati0umxx.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0umxx.sys');
BC_Importall;
BC_DeleteSvc('ati0umxx');
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=38849"]http://virusinfo.info/upload_virus.php?tid=38849[/URL]
Повторите логи по правилам.
03.02.2009, 22:17
SergeSerge

Закачал, спасибо.
03.02.2009, 22:59
drongo

Повторите логи по правилам
04.02.2009, 19:29
SergeSerge

Вложений: 3

Повторил.
После лечения вылез артефакт: при загрузке системы на фоне заставки появляется квадратное окно с четырьмя палочками в левом верхнем углу.
на щелканье по крестику не реагирует, после нажатия на ОК закрывается и продолжается загрузка.
04.02.2009, 19:46
drongo

ещё не много, ещё чуть чуть:
выполнить скрипт:
[code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe');
BC_Importall;
BC_DeleteSvc('appdrvrem01');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
[/code]

карантин прислать, новые логи сделать и прикрепить.
sp3 с вагоном обновлений не забудьте, а то всё потраченное время коту под хвост ;)
04.02.2009, 21:05
SergeSerge

Вложений: 3

После выполнения этого скрипта артефакт исчез, после выполнения 1-го пункта
инструкции появился снова.
Карантин выслал, логи прикрепил.
04.02.2009, 21:30
drongo

отключите все ваши "анти" и интернет, выполните скрипт:
[code]
begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sti_ci.dll','');
QuarantineFile('C:\WINDOWS\system32\dvmurl.dll','');
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.sys','');
DeleteFile('C:\WINDOWS\system32\winsys2.exe');
BC_Importall;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
[/code]

Повторите только virusinfo_syscure.zip, карантин прислать.
05.02.2009, 19:50
SergeSerge

Вложений: 1

Артефакты исчезли, спасибо.
Все отправил.
05.02.2009, 19:54
Гриша

В логах чисто, установите SP3+all updates...
05.02.2009, 21:47
SergeSerge

Большое спасибо всем, оказавшим помощь.
06.02.2009, 21:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]