Комп рассылает спам

Printable View

01.12.2010, 12:53
suzi_qua

Комп рассылает спам

Постоянно появляется предупреждение от Нортона, о том что
невозможно доставить почту к адресату.По разным причинам.
Указывается мой IP И КОД ошибки 550-5.7.7.1 если включен интернет, если выключен то вот такая картинка.[IMG]http://i066.radikal.ru/1012/47/48f45005f02c.jpg[/IMG]
01.12.2010, 14:04
polword

[URL="http://virusinfo.info/pravila_old.html"][COLOR="blue"]Внимательно прочитайте и аккуратно выполните[/COLOR][/URL]
01.12.2010, 14:47
suzi_qua

Вот два лога от AVZ и HJ
01.12.2010, 15:57
Bratez

[QUOTE]Attention !!! [COLOR="Red"]Database was last updated 25.08.2010[/COLOR] it is necessary to update the database (via File - Database update)[/QUOTE]
Обновите базы AVZ и сделайте логи, как описано в п.1 и 2 раздела [I]Диагностика[/I] [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL].
01.12.2010, 22:14
suzi_qua

Добрый вечер!
Все сделала.
Вот такие файлы получились.
Спасибо
01.12.2010, 22:30
polword

- Скачайте "[B]OSAM[/B]" Online Solutions Autorun Manager [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]тут[/URL]. В меню драйверов правой кнопкой по [B]tfotcxdtf[/B] и выберите "[B]Turn Run Off[/B]". Перезагрузку подтвердите.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\portwexexe.exe\portwexexe.exe','');
QuarantineFile('C:\WINDOWS\System32\winlogon.exe','');
DeleteService('darkness');
QuarantineFile('C:\WINDOWS\system\dwm.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\tfotcxdtf.sys','');
QuarantineFile('C:\WINDOWS\system32\catres.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\tfotcxdtf.sys');
DeleteFile('C:\WINDOWS\system\dwm.exe');
DeleteFile('C:\portwexexe.exe\portwexexe.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','portwexexe.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','portwexexe.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
01.12.2010, 23:59
suzi_qua

Уф!
Вот новые логи.
спасибо.
02.12.2010, 05:57
polword

- Скачайте "[B]OSAM[/B]" Online Solutions Autorun Manager [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]тут[/URL]. В меню драйверов правой кнопкой по [B]tfotcxdtf[/B] и выберите "[B]Turn Run Off[/B]". Перезагрузку подтвердите.

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Infizierte Registrierungsschlьssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\system32\drivers\tfotcxdtf.sys (Rootkit.Agent) -> No action taken.

[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\dokumente und einstellungen\Lukdom\anwendungsdaten\Adobe\plugs\kb9463390.exe','');
QuarantineFile('c:\dokumente und einstellungen\Lukdom\anwendungsdaten\Adobe\plugs\kb9484234.exe','');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
02.12.2010, 10:22
suzi_qua

Доброе утро!
Файл карантин подозрительно легок.Открыла его, а он пустой,ничего нет в архиве.
В MBRAM не успела удалить первый ключ, удалила второй и комп тут же перегрузился, запустила второй раз, но во втором разе не было уже ничего.
Появилось нечто новое, каждые 2-3 сек моргает -"сетевой кабель не подключен" -сам кабель хотя в порядке, его никто не трогал.
Хотя базы обновляются в AVZ ,но тнтернет не работает.
Вот логи новые.
Спасибо.
02.12.2010, 21:56
suzi_qua

Все!! Спасибо всем. Вроде все заработало! Ура!
Тема закрыта.
02.12.2010, 22:45
thyrex

Плохого в последнем логе не увидел
03.12.2010, 22:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\catres.dll - [B]Trojan.Win32.TDSS.bwjz[/B] ( DrWEB: Trojan.Siggen.64604, BitDefender: Gen:Variant.Kazy.5295, AVAST4: Win32:MalOb-DG [Cryp] )[/LIST][/LIST]