-
Full Member
- Вес репутации
- 64
Spamboot
Здравствуйте!
Вот такая проблема: во время работы в Windows начинается активная рассылка почты через OutlookExpress. Через д-р Вэб проверял, удалял вирусы, но, всё равно, история продолжается!Прогнал с AVZ и, вроде, всё исчезло!Посмотрите, пожалуйста, логи.
Последний раз редактировалось ghostil; 09.10.2007 в 20:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Full Member
- Вес репутации
- 64
спасибо за быстрый ответ, сейчас сделаю
Добавлено через 15 минут
карантин я закачал
Минут через 5 будут логи
Последний раз редактировалось ghostil; 03.09.2007 в 18:39.
Причина: Добавлено
-
Full Member
- Вес репутации
- 64
Последний раз редактировалось ghostil; 09.10.2007 в 20:16.
-
Ничего не досталось. Попробуй выполнить скрипт из Safe Mode.
Последний раз редактировалось PavelA; 03.09.2007 в 19:11.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Trojan-Downloader.Win32.Agent.crz
-
-
Full Member
- Вес репутации
- 64
Извините, что пропал на 2 недели, я вот сделал логи ещё раз в обычном режиме, сейчас выполню логи в Safe Mode. Как выполнятся, сразу же вышлю!
Последний раз редактировалось ghostil; 09.10.2007 в 20:16.
-
Не торопись. Выполни скрипт в Safe Mode.
Затем можно сделать и логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Full Member
- Вес репутации
- 64
Хорошо, не буду!Я вот только не понял, а какой именно скрипт нужно выполнить в Safe Mode? :-)
Добавлено через 1 минуту
А, понял, тот же самый скрипт, который Вы мне писали! Извините, что-то не сообразил! Хорошо, сейчас выполню! :-)
Последний раз редактировалось ghostil; 17.09.2007 в 14:13.
Причина: Добавлено
-
Full Member
- Вес репутации
- 64
Выкладываю логи после выполненного скрипта.
Последний раз редактировалось ghostil; 09.10.2007 в 20:16.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [MStask] C:\WINDOWS\svchost.exe
и пришлите по правилам вот этот файлик:
c:\program files\common files\symantec shared\ccapp.exe
судя по количеству установленных им соединений, похож на оборотня.
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
Строчки пофиксил и файл закачал :-)
-
@Bratez у меня в Симантеке есть такой же файлик.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Full Member
- Вес репутации
- 64
Компьютеру, к сожалению, легче не стало
Добавлено через 40 секунд
:-(
Последний раз редактировалось ghostil; 17.09.2007 в 16:23.
Причина: Добавлено
-
Не вижу файла.
@PavelA: знаю, но посмотри на список портов в логе AVZ...
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
хм, сейчас ещё раз закачаю, может сбой какой был, минутку
Добавлено через 3 минуты
а сейчас, видите?По идее, должен был закачаться
Последний раз редактировалось ghostil; 17.09.2007 в 16:30.
Причина: Добавлено
-
Да, файл пришел, будем посмотреть...
Добавлено через 11 минут
На Вирустотал никто не заподозрил, вроде настоящий файл Симантека.
Однако в логе АВЗ видно, что именно он устанавливает огромное кол-во соединений по 25-му порту! Попробуйте хотя бы временно деинсталлировать Симантека. Чтобы не оставаться без защиты, можно установить например триальный КАВ. Заодно и проверочку им сделать не помешает. И сделайте логи, посмотрим дальше.
Последний раз редактировалось Bratez; 17.09.2007 в 16:44.
Причина: Добавлено
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
Хорошо, спасибо, сейчас выполню
-
Full Member
- Вес репутации
- 64
Удалил Symantec, поставил Kaspersky. Нашёл он кучу всяких вирусов, всего даже не перечислить. Вот выкладываю сделанные только что логи. Посмотрите, пожалуйста.
Последний раз редактировалось ghostil; 09.10.2007 в 20:16.
-
Если не секрет что нашел касперский и самое главное где.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-