Показано с 1 по 12 из 12.

Какая-то дрянь спамит с моего компа (заявка № 10063)

  1. #1
    Junior Member Репутация
    Регистрация
    29.05.2007
    Сообщений
    5
    Вес репутации
    62

    Exclamation Какая-то дрянь спамит с моего компа

    Добрый день. Заметил, что с моего компа генерится большое количество исходящего траффика. Заглянул в аутпост, вроде траф генерит один из процессов svchost.exe, по протоколу SMTP, судя по всему спам рассылает.

    Поймать заразу при помощи касперского с последними обновлениями и при помощи DrWeb CureIT (как написано в правилах) мне не удалось.

    Возможно это чем-то поможет, прикладываю логи полной проверки Касперским:

    удалено: троянская программа Trojan-Proxy.Win32.Xorpix.ba Файл: C:\DOCUMENTS AND SETTINGS\ALL USERS\Документы\SETTINGS\WINSYS2F.DLL//UPack
    удалено: троянская программа Trojan-Proxy.Win32.Xorpix.m Файл: C:\WINDOWS\SYSTEM32\A3DXQ.DLL
    удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE
    удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\System Volume Information\_restore{F9320ABB-07A1-434B-A556-12C4AFCC2E66}\RP652\A0131768.EXE
    удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\WINDOWS\Temp\win355.tmp
    удалено: вирус Email-Worm.Win32.Zhelatin.dn Файл: C:\WINDOWS\Temp\win6040.tmp
    удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: C:\Documents and Settings\Администратор\Мои документы\Educate(Оля)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
    удалено: троянская программа Trojan.Win32.Small.mi Файл: C:\FOUND.009\FILE0000.CHK
    удалено: вирус Email-Worm.Win32.Zhelatin.bj Файл: C:\Temp\temp.fr8888
    удалено: троянская программа Trojan-Dropper.Win32.Agent.bah Файл: C:\Temp\qvxt4.game//ASPack
    удалено: вирус Packed.Win32.Tibs.y Файл: C:\FOUND.009\FILE0004.CHK
    удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: E:\Install\Documents and Settings\Мои документы\Educate(Ольга)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
    удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: G:\Documents and Settings\Администратор\Мои документы\Educate(Оля)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
    не найдено: троянская программа Trojan-Proxy.Win32.Xorpix.ba Файл: c:\documents and settings\all users\Документы\settings\winsys2f.dll//UPack

    Т.е. он поудалял всяких троянов, но спам при этом не прекратился.

    Очень надеюсь на Вашу помощь. Логи прилагаю к теме.
    Заранее спасибо.

    P.S. При попытке загрузки обновлений avz выдавалась ошибка, поэтому запускал скрипты без обновлений, прямо в той версии, что выложена в инструкции.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    в AVZ выполнить скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('c:\windows\system32\_zsk_zlu_zlope05uxq`deslswl`aefi.exe','');
     QuarantineFile('c:\windows\system32\_mzu_stonedrv3.exe','');
     QuarantineFile('c:\DriverLoad\windrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\wservice.exe','');
     QuarantineFile('C:\WINDOWS\system32\_zsk_zlu_zlope07NT_U^T]S`IJUHFWY.exe','');
     QuarantineFile('C:\WINDOWS\system32\_zsk_zlu_zlope06ANTZJ`GPJ]WVUYDU.exe','');
     QuarantineFile('C:\Temp\loaderc24143640.exe','');
     DeleteFile('C:\Temp\loaderc24143640.exe');
     DeleteFile('C:\WINDOWS\system32\_zsk_zlu_zlope06ANTZJ`GPJ]WVUYDU.exe');
     DeleteFile('C:\WINDOWS\system32\_zsk_zlu_zlope07NT_U^T]S`IJUHFWY.exe');
     DeleteFile('C:\WINDOWS\system32\wservice.exe');
     DeleteFile('c:\DriverLoad\windrv.exe');
     DeleteFile('c:\windows\system32\_mzu_stonedrv3.exe');
     DeleteFile('c:\windows\system32\_zsk_zlu_zlope05uxq`deslswl`aefi.exe');
     BC_DeleteSvc('pe386');
     BC_DeleteFile('C:\WINDOWS\system32\lzx32.sys');
     BC_ImportAll;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через форму (ссылка, также прикрепить boot_clr.log из директории AVZ.
    Желательно провериться Cure-It от Dr.Web в безопасном режиме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    29.05.2007
    Сообщений
    5
    Вес репутации
    62
    Карантин выслал, файл, который необходимо прислать - вкладываю.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Одного прибили, что с остальными непонятно.
    К сожалению, в карантин ничего не попало. Надо повторить логи AVZ

    в HJ профиксить:
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [WinMedia] C:\Temp\loaderc24143640.exe
    O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
    O16 - DPF: {43331111-1111-1111-1111-611111195622} - 
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
    O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
    O21 - SSODL: odb_set - {D55432AE-97FF-44EF-A121-F5D37CC6E929} - odbcmr32.dll (file missing)
    O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - c:\Temp\dnlsvc.exe (file missing)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    29.05.2007
    Сообщений
    5
    Вес репутации
    62
    В HJ пофиксил, логи AVZ прикладываю к сообщению. На всякий случай еще карантин приложил. Спам вроде прекратился.

    Есть еще пара вопросов:
    1) Эта зараза, что водится на моем компе в состоянии воровать конфиденциальные данные? - В моем случае это очень актуально.
    2) Есть ли у форума какой-то фонд, куда можно скинуть 10-20 WMZ в знак благодарности?
    Вложения Вложения
    Последний раз редактировалось Макcим; 29.05.2007 в 22:44.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Попробуем еще разок.
    В AVZ выполнить скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('c:\windows\system32\_zsk_zlu_zlope05uxq`deslswl`aefi.exe','');
     QuarantineFile('c:\windows\system32\_mzu_stonedrv3.exe','');
     QuarantineFile('c:\DriverLoad\windrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\wservice.exe','');
     QuarantineFile('C:\WINDOWS\system32\_zsk_zlu_zlope07NT_U^T]S`IJUHFWY.exe','');
     QuarantineFile('C:\WINDOWS\system32\_zsk_zlu_zlope06ANTZJ`GPJ]WVUYDU.exe','');
     DeleteFile('C:\WINDOWS\system32\_zsk_zlu_zlope06ANTZJ`GPJ]WVUYDU.exe');
     DeleteFile('C:\WINDOWS\system32\_zsk_zlu_zlope07NT_U^T]S`IJUHFWY.exe');
     DeleteFile('C:\WINDOWS\system32\wservice.exe');
     DeleteFile('c:\DriverLoad\windrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\_zsk_zlu_zlope06ANTZJ`GPJ]WVUYDU.exe');
     BC_DeleteFile('C:\WINDOWS\system32\_zsk_zlu_zlope07NT_U^T]S`IJUHFWY.exe');
     BC_DeleteFile('c:\DriverLoad\windrv.exe');
     DeleteFile('c:\windows\system32\_mzu_stonedrv3.exe');
     BC_DeleteFile('c:\windows\system32\_mzu_stonedrv3.exe');
     DeleteFile('c:\windows\system32\_zsk_zlu_zlope05uxq`deslswl`aefi.exe');
     BC_DeleteFile('c:\windows\system32\_zsk_zlu_zlope05uxq`deslswl`aefi.exe');
     BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить карантин, если в нем будут файлы с расширением dta и dat. Это можно посмотреть в АВЗ. Ну, не нравяться мне ехе-файлы с такими названиями.
    Карантин грузить через ссылку вверху темы.

    Про кражу конфедин. и-ции пока сказать не могу, т.к. не знаю имен зловредов, обнаруженных у Вас.
    Поблагодарить конечно можно. Есть тема, где-то внизу. Рановато это, сначала вылечимся, а потом благодарности.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Эта зараза, что водится на моем компе в состоянии воровать конфиденциальные данные?
    удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: E:\Install\Documents and Settings\Мои документы\Educate(Ольга)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
    удалено: троянская программа Backdoor.Win32.Prorat.13 Файл: G:\Documents and Settings\Администратор\Мои документы\Educate(Оля)\Siemens c55\A50-C55TOOLSUPByS.Yazdanfar.zip/A50-C55-ALL/Siemens_Unlock.exe//Krypton
    Backdoor может способствовать получению конфеденциальной информации злоумышленником.

  9. #8
    Junior Member Репутация
    Регистрация
    29.05.2007
    Сообщений
    5
    Вес репутации
    62
    Карантин грузить через ссылку вверху темы.
    Загрузил.

    Рановато это, сначала вылечимся, а потом благодарности.
    В любом случае, хотя бы за то, что вот так, совершенно бескорыстно помогаете людям.

    Backdoor может способствовать получению конфеденциальной информации злоумышленником.
    Т.е. рекомендуете менять все пароли, ключи вебмани и т.п.?

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    К сожалению, в карантине пусто. Загрузитесь через F8 (Safe Mode) и посмотрите наличие ехе-файлов в System32 (дурные имена смотри в скрипте).
    Результаты отпишите.

    Можно еще разок сделать лог Hijackthis. Посмотрим, что осталось.

    Пароли лучше поменять, от лукавого.

    З.Ы http://virusinfo.info/showthread.php?t=3519 - насчет балгодарностей.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    29.05.2007
    Сообщений
    5
    Вес репутации
    62
    Лог прилагаю.

    В сейфмоде ничего не нашел.

    Топик по указанной ссылке полистал, но про материальную помощь ничего не нашел, можно у вас просто WMZ кошелек узнать, куда благодарности высылаются?

    P. S. Огромное спасибо за помощь, без вас вряд ли бы справился.
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://virusinfo.info/showthread.php?t=7294 - про WMZ кошелек.

    C:\WINDOWS\system32\wservice.exe - найти в AVZ, добавить в карантин и прислать. По всем признакам это троян. Надо провериться.

    Плюс добавить логи от AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) TPAKTOP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Засела какая-то дрянь. Не могу вычислить.
      От Lolypop в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.08.2010, 11:24
    2. Какая-то дрянь с компа знакомой.
      От murella в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.07.2010, 11:47
    3. Какая то бяка спамит :(
      От Xaocc в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.03.2009, 13:56
    4. Спамит с моего компьютера.
      От pistol в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:56
    5. Вирус СПАМит с моего компьютера
      От AlexLSL в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.02.2009, 21:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00466 seconds with 20 queries