svchost exe рассылает спам с компа

**eka** · 30.05.2007, 17:00

Добрый день,

какой то процесс рассылает через svchost.exe спам

видел здесь подобную тему, но решение которое предложили там, мне не помогло =((

касперский ловит рассылку спама вот что пишет

обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\system32\svchost.exe

естественно убить его не может

Помогите плз.
логи в приложении

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 30.05.2007, 17:08

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\sscrs.exe');
DeleteFile('C:\WINDOWS\hpsys32.exe');
 DeleteFile('C:\WINDOWS\System32\jpgconf.exe');
 DeleteFile('C:\WINDOWS\System32\panmavic.dll');
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
 DeleteFile('brwmgr32.dll');
 DeleteFile('jfgmgr32.dll');
 DeleteFile('jpgmgr32.dll');
 DeleteFile('xfsmgr32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [jpgdiag] C:\WINDOWS\System32\jpgconf.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
O20 - Winlogon Notify: panmavic - C:\WINDOWS\System32\panmavic.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: xfsmgr - xfsmgr32.dll (file missing)

Сделайте новые логи.

**eka** · 31.05.2007, 11:02

Спасибо!!! рассылка спама закончилась вроде =) понаблюдаю ещё сегодня.

вот логи.

**PavelA** · 31.05.2007, 11:13

Код:

O20 - AppInit_DLLs: ???,C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll

- осталась одна неправильная строчка. Если профиксить через HJ, то будут проблемы с Касперским. Как поступать пока не знаю.

**Макcим** · 31.05.2007, 11:19

Оставить как есть, ни чего страшного.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

**drongo** · 31.05.2007, 11:28

Сообщение от PavelA

Код:

O20 - AppInit_DLLs: ???,C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll

- осталась одна неправильная строчка. Если профиксить через HJ, то будут проблемы с Касперским. Как поступать пока не знаю.

Элементарно, Ватсон

1.Скачиваем KIS7
2.удаляем KIS 6
3. фиксим строку с hijakthis
4.реестр почистить от остатков всевозможных например с tuneup utilities
5.Поставить KIS 7

**PavelA** · 31.05.2007, 11:35

@drongo Ню-ню. KIS закачать не у всех получится. Хотелось что-нибудь попрощее.

@Maxim В след. раз придется снова разбираться, да и не люблю я мусор в реестре.

**Макcим** · 31.05.2007, 11:36

1.Скачиваем KIS7

Коммерческий релиз ещё не вышел, Холмс!

**pig** · 31.05.2007, 13:15

Сообщение от PavelA

Код:

O20 - AppInit_DLLs: ???,C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll

- осталась одна неправильная строчка. Если профиксить через HJ, то будут проблемы с Касперским. Как поступать пока не знаю.

Это:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~2.0\\adialhk.dll"

скопировать в Блокнот и сохранить под именем "adialhk.reg" (так в кавычках и указать). Потом двумя щелчками мыши по файлу и подтвердить внесение изменений в реестр.