Email proxy + eKAV

Printable View

06.01.2010, 19:25
dcvf

Email proxy + eKAV

Здравствуйте! Поймал в одном комплекте Email proxy и eKAV, от последнего удалось избавиться подбором кода, но возможно, что и от него что-то осталось. Главная проблема - как захожу в интернет, через пару минут Symantec заваливает экран сообщениями об отправляемых письмах...
Прошу помочь!
06.01.2010, 19:42
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteService('PowerManager');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам

Сделайте новые логи + лог GMER (ссылка у меня в подписи)
06.01.2010, 21:45
dcvf

Спасибо за быструю помощь!
06.01.2010, 22:12
Никита Соловьев

Сохраните текст ниже как [B]cleanup.bat[/B] в ту же папку, где находится [B]8u4gcnne.exe[/B] (gmer)
[CODE]8u4gcnne.exe -del service xhkjwu
8u4gcnne.exe -del file "C:\WINDOWS\system32\xwmqx.dll"
8u4gcnne.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xhkjwu"
8u4gcnne.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\xhkjwu"
8u4gcnne.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xhkjwu"
8u4gcnne.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\xhkjwu"
8u4gcnne.exe -reboot[/CODE]

И запустите cleanup.bat. Компьютер перезагрузится

Сделайте новый лог gmer
06.01.2010, 22:51
dcvf

Готово!
06.01.2010, 23:06
Никита Соловьев

Чисто. Проблема решена?
06.01.2010, 23:21
dcvf

Должно быть, решена, ничего не отправляется. Спасибо большое!
07.01.2010, 23:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\explorer.exe:userini.exe:$data - [B]Trojan.Win32.FraudPack.ajqk[/B] ( DrWEB: Trojan.Fakealert.10083, BitDefender: Trojan.Generic.2938510 )[*] c:\windows\system32\userini.exe - [B]Trojan.Win32.FraudPack.ajqk[/B] ( DrWEB: Trojan.Fakealert.10083, BitDefender: Trojan.Generic.2938510 )[/LIST][/LIST]