Компьютер заразился трояном:
После загрузки начинается сетевая активность - идет постоянный исходящий SMTP трафик (SPAM-рассылка).
Не знаю связано ли это, но, кроме того, не работает спулер.
Компьютер заразился трояном:
После загрузки начинается сетевая активность - идет постоянный исходящий SMTP трафик (SPAM-рассылка).
Не знаю связано ли это, но, кроме того, не работает спулер.
Скачайте приложенную программу ((с)[B]Muffler[/B]), распакуйте и запустите в безопасном режиме. Потом выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\cp1041.nls');
BC_DeleteFile('c:\cp1041.nls');
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи.
Выполнил программу и скрипт, новые логи прикрепил.
Заметил, что в реестре постоянно появляется следующий ключ:
[QUOTE][HKEY_USERS\S-1-5-21-583907252-764733703-839522115-1003\Software\Microsoft\Internet Explorer\Security]
"Sending_Security"="Medium"
"Viewing_Security"="Low"
"Safety Warning Level"="Query"
"installation_id"=hex:6f,c2,15,98,2d,0f,b5,48,bc,25,be,dc,6b,63,70,fc[/QUOTE]
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearHostsFile;
RebootWindows(false);
end.
[/code]
Для контроля еще раз сделайте логи, начиная с п.10 правил.
В общем, Spam-Tool мы с вами успешно удалили, но есть серьезные замечания: во-первых, обязательно установите SP2 + последующие обновления Windows, без них ваша система - решето; во-вторых, антивирус тоже нужен обязательно! Иначе будете завсегдатаем раздела "Помогите!"
Спасибо за помощь!!
Антивирус установлен, просто его снесли на период лечения AVZ (может этого делать и не нужно было, но решили подстраховаться...)
Обновления установим.
Ключ в реестре после исправления ndis спокойно удалился.
Прикрепляю свежие логи
Насторожило, что в скрипте стоит
[QUOTE]RebootWindows(false);[/QUOTE]
но винды все равно перезагрузились (или так и должно было быть?)
И может ли кто-то подсказать, что делать со спулером?
[QUOTE]винды все равно перезагрузились [/QUOTE]
Это правильно.
Странно, что файл Hosts не очищается, значит кто-то его записывает снова!
Пришлите по правилам файл C:\Program Files\HFXP2\hfxp.exe.
И еще вопрос: Remote Administrator вы сами ставили?
РАдмин я сам ставил, потом снес - на него антивирусы ругались.
Указанный файл - программа HideFoldersXP - прячет указанные каталоги от посторонних глаз.
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('r_server');
BC_Activate;
RebootWindows(false);
end.[/code]
Присланный файл чистый.
Насчет файла Hosts давайте проверим вручную в AVZ:
1. Файл - Восстановление системы - п.13 - Выполнить.
2. Сервис - Менеджер файла Hosts:
не считая комментариев, должна быть только строка [I]127.0.0.1 localhost[/I]
3. Закрываем AVZ и перезагружаемся.
4. Повторяем п.2, сообщаем результат.
Через п.13 файл hosts не очищался, но зайдя в Сервис-Менеджер файла hosts и удалив вручную все строки кроме localhost, файл сохранился в таком виде и больше не заполняется, даже после перезагрузки.
[QUOTE]Через п.13 файл hosts не очищался[/QUOTE]
Видимо, какой-то глюк в AVZ. Ну что ж, как говорится, не мытьем так катаньем. Главное - результат. На всякий случай еще разок сделайте логи начиная с п.10 правил.
Спасибо за помощь!!!
В логах чисто. Настройки прокси-сервера сами прописывали?
Теперь все в порядке! Разве что вот эти службы можно отключить для полной стерильности :) (полагаю, вы их не используете?):
[code]
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
[/code]
И не затягивайте с установкой SP2 и далее!
Уже все сделали, спасибо огромное!!!!
Советую почитать на досуге вот [URL="http://security-advisory.newmail.ru/"]эту[/URL] книгу.
Вы можете нас отблагодарить [URL="http://www.virusinfo.info/showthread.php?t=3519"]так[/URL]. Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте [URL="http://www.virusinfo.info/showthread.php?t=2645"]тут[/URL] и [URL="http://www.virusinfo.info/showthread.php?t=7294"]тут[/URL].
Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.
Удачи!
[quote=MaXim;111474]В логах чисто. Настройки прокси-сервера сами прописывали?[/quote]
Да, мы ходим в инет через прокси (Squid)
Есть еще один комп с похожей проблемой, но, вроде, троян другой (а может и нет...)
Мне завести другую тему или можно обсудить это здесь?
[quote]Мне завести другую тему или можно обсудить это здесь?[/quote]Лучше другую.
Уже :-))
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]