Поймать бы момент, когда спам идёт. Не видно его в логах.
Пришлите ещё результат вот этого:
[code]begin
QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');
end.[/code]
Printable View
Поймать бы момент, когда спам идёт. Не видно его в логах.
Пришлите ещё результат вот этого:
[code]begin
QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');
end.[/code]
В соседней теме [url]http://virusinfo.info/showthread.php?t=7573[/url]
проверял на virustotal WgaLogon.dll
Надо подождать окончательного вердикта. М.б. это кто-то под Майкрософт косит.
После очередной проверки в карантин автоматом занеслось очень много объектов, из папок сониэриксона (сомневаюсь что там проблема, софт лицензионный с диска), мирк (уже проверялось), ICQ и миранда и из папки систем 32 файлов 6-7.
Архивирую карантин, отсылаю вам снова.
Спасибо!
[quote=PavelA;92357]В соседней теме [URL]http://virusinfo.info/showthread.php?t=7573[/URL]
проверял на virustotal WgaLogon.dll
Надо подождать окончательного вердикта. М.б. это кто-то под Майкрософт косит.[/quote]
WgaLogon.dll из карантина по текущей теме имеет цифровую подпись Microsoft. На virustotal его никто даже подозрительным не считает :(
три файла моих видеокодеков были инфицированы вирусом WIN32\remote admin
нашел НОД32 при глубоком анализе системы, до сегоднешнего дня не находил.....
сам вирус походу не найден
вот тока что ещё раз сканил нашёл ещё три
C:\WINDOWS\system\admdll.#ll - Win32/RemoteAdmin приложение
C:\WINDOWS\system\raddrv.#ll - Win32/RemoteAdmin приложение
C:\WINDOWS\system32\raddrv_0.#ll - Win32/RemoteAdmin приложение
чё посоветуете?
спам всё ещё идёт с моего компа! =(
Виноват, зарапортовался. Это насчет WgaLogon.dll
[QUOTE=Delax;92410]три файла моих видеокодеков были инфицированы вирусом WIN32\remote admin
нашел НОД32 при глубоком анализе системы, до сегоднешнего дня не находил.....
сам вирус походу не найден
вот тока что ещё раз сканил нашёл ещё три
C:\WINDOWS\system\admdll.#ll - Win32/RemoteAdmin приложение
C:\WINDOWS\system\raddrv.#ll - Win32/RemoteAdmin приложение
C:\WINDOWS\system32\raddrv_0.#ll - Win32/RemoteAdmin приложение
чё посоветуете?
спам всё ещё идёт с моего компа! =([/QUOTE]
Надо попробовать добавить из в карантин AVZ и прислать.
AVZGuard включить.
Сначала Сервис -- Поиск файлов. Если найдутся, добавить в карантин и прислать для анализа.
Перед выходом из AVZ AVZGuard выключить.
Странно, что AVZ их нигде не показал.
RAdmin - он и есть RAdmin. Тем более - переименованный посредством CureIt и потому уже неработоспособный. Впрочем, если сами не ставили - мочить его безжалостно, ибо похоже на подсадную утку.
P.S. RAdmin сам по себе ничего не заражает, это вообще-то законопослушное приложение, если в порядочных руках.
В том всё и дело что радмин я удалил очень давно может пол года назад и его у меня не было.
Похоже что это вирус такой remoteadmin
Заметил также некую странность: аутпост фаервол пишет об обнаруженной атаке (атака с адреса 127.0.0.1 (my adress attack)) затем и происходит рассылка спама насколько я понял (судя по надписи которая появляется в личном кабинете)
Это не вирус, это RAdmin собственной персоной.
А почему бы не посмотреть по логам Outpost, что ещё происходит в момент и вскоре после атаки, и кто в это время лезет в сеть?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\mirc\\mirc.exe - [B]not-a-virus:Client-IRC.Win32.mIRC.616[/B] (DrWEB: Program.mIRC.616)[/LIST][/LIST]