Здравствуйте,
после обнаружения и успешного лечения вируса, антивирусом NOD32, с этой машины тем не менее начал рассылаться спам по 25 порту. Найти виновника не могу.
Printable View
Здравствуйте,
после обнаружения и успешного лечения вируса, антивирусом NOD32, с этой машины тем не менее начал рассылаться спам по 25 порту. Найти виновника не могу.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\swmidi.sys','');
QuarantineFile('C:\RE\BACK\BcK.exe','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
DeleteFile('C:\RE\BACK\BcK.exe');
DelCLSID('{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9896622}');
DeleteFileMask('C:\RE', '*.*', true);
DeleteDirectory('C:\RE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
[QUOTE=thyrex;633578]Выполните скрипт в AVZ
...
Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи[/QUOTE]
После перезагрузки, удалился Midi драйвер звука, система пыталась его установить но не нашла.
Он не удален, а пропатчен (или подменен) вирусом
1. Загрузитесь с LiveCD.
2. Скопируйте [b]C:\WINDOWS\system32\drivers\swmidi.sys[/b] в другую папку, переименуйте, а в исходном месте файл замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url].
3. Загрузитесь в нормальном режиме.
4. Отключите антивирус.
5. Запакуйте ранее скопированный файл с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы.
После этого перезагрузитесь и сделайте новые логи
[QUOTE=thyrex;634019]
...
5. Запакуйте ранее скопированный файл с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы.
После этого перезагрузитесь и сделайте новые логи[/QUOTE]
Новые логи сделаны.
В карантине [B]Rootkit.Win32.Bubnix.s[/B]
Проблема решена?
[QUOTE=thyrex;635293]В карантине [B]Rootkit.Win32.Bubnix.s[/B]
Проблема решена?[/QUOTE]
Да, спасибо! 8)
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drwat32.exe - [B]Trojan-Spy.Win32.KeyLogger.ezd[/B] ( DrWEB: Trojan.Packed.20087, BitDefender: Rootkit.35489, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \swmidi.sys - [B]Rootkit.Win32.Bubnix.s[/B] ( DrWEB: Trojan.WinSpy.713, BitDefender: Backdoor.Generic.351368, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]