спам с компа

Printable View

15.10.2010, 19:53
Skromniy

спам с компа

Добрый вечер, нужна ваша помощь. пров закрыл 25 порт сказал идет спам. проверил все компы подозрения только на 1 остались. установил angentum в нем увиел что процес servises.exe ломится на различные хосты локальные порты перебирает все по очереди а удаленный всегда 443.
есть вот такие вот 2 файла
>>> Подозрение на маскировку ключа реестра службы\драйвера "cmpid"
>>> Подозрение на маскировку ключа реестра службы\драйвера "xiozexab
их вкюцуи curit из безопастного режима удалил , но они появлись снова.
так же нод регулярно ругался на непонятные файлы в windows\temp
после того как сделал все исследования файла virusinfo_syscure.zip не нашел есть только virusinfo_cure.zip и то размер 1кб
16.10.2010, 02:00
thyrex

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]cmpid[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку. Повторите для [B]xiozexab[/B]

Сохраните [B]html-лог[/B] работы утилиты, заархивируйте его и прикрепите к своему сообщению

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\7680fedd3c90','');
DeleteService('f98f44d0546c9d58');
QuarantineFile('C:\WINDOWS\TEMP\74406c3b8a1c','');
DeleteService('bdac3803bfbf74bf');
QuarantineFile('C:\WINDOWS\TEMP\6080a23a4d08','');
QuarantineFile('C:\WINDOWS\TEMP\844096abdc5c','');
QuarantineFile('C:\WINDOWS\TEMP\7640f0a99b64','');
QuarantineFile('C:\WINDOWS\TEMP\7480eaca4280','');
DeleteService('82e9de787b886583');
DeleteService('2a9d6e9608cfa6eb');
DeleteService('0e94d8755033cf11');
DeleteService('0249c568e035f437');
QuarantineFile('C:\WINDOWS\system32\Drivers\xiozexab.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\cmpid.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\cmpid.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\xiozexab.sys');
DeleteFile('C:\WINDOWS\TEMP\7480eaca4280');
DeleteFile('C:\WINDOWS\TEMP\7640f0a99b64');
DeleteFile('C:\WINDOWS\TEMP\844096abdc5c');
DeleteFile('C:\WINDOWS\TEMP\6080a23a4d08');
DeleteFile('C:\WINDOWS\TEMP\74406c3b8a1c');
DeleteFile('C:\WINDOWS\TEMP\7680fedd3c90');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xiozexab');
BC_DeleteSvc('cmpid');
BC_DeleteSvcReg('xiozexab');
BC_DeleteSvcReg('cmpid');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
18.10.2010, 11:33
Skromniy

скрип не выполняеться с ошибкой
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]

прогнал еще раз cureit удалил уже не 2 а 4 файла. 2 из windows\system32\drivers и еще 2 из корзины. прогой какой сказали эти якобы райвера отключил. активность services.exe прекратилась.сделал ноые логи могу прикрепить их а также лог OSAM.
карантин выслать не могу т.к скрипт не выполняеться + файлы уже удалены
18.10.2010, 11:34
Skromniy

вот новые логи
18.10.2010, 16:30
Bratez

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('0249c568e035f437');
BC_DeleteSvc('0e94d8755033cf11');
BC_DeleteSvc('2a9d6e9608cfa6eb');
BC_DeleteSvc('82e9de787b886583');
BC_DeleteSvc('bdac3803bfbf74bf');
BC_DeleteSvc('f98f44d0546c9d58');
BC_DeleteSvc('hmnwjcb');
BC_DeleteSvc('qfsjakog');
BC_DeleteFile('C:\WINDOWS\system32\drivers\cmpid.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\xiozexab.sys');
BC_DeleteSvc('cmpid');
BC_DeleteSvc('xiozexab');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).