Показано с 1 по 5 из 5.

Не могу одолеть спамера (заявка № 12469)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2007
    Сообщений
    2
    Вес репутации
    38

    Exclamation Не могу одолеть спамера

    Подцепил себе спаммера, процесс svhost что-то льет мне из-за бугра, судя по пакетам, мыло чужое...
    Поставил НОД, тот каждый раз после рестарта удаляет некий зараженный файл ipv6fw.sys и ругается на runtime2.sys, периодически появляется процесс startdrv.exe и одноименный файл в папке темп.
    Логи ниже...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите
    Код:
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    выполните скрипт...
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('system32\DRIVERS\cledx.sys','');
     QuarantineFile('system32\drivers\ts_lb.sys','');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     BC_DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи....

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2007
    Сообщений
    2
    Вес репутации
    38
    Все сделал, вроде не все... в реестре есть секция на авто-запуск strtdrv.exe
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    из попавших в карантин ...
    C:\WINDOWS\system32\rpcc.dll Trojan-Proxy.Win32.Dlena.cq
    C:\WINDOWS\system32\DRIVERS\cledx.sys -чистый
    C:\WINDOWS\system32\drivers\ts_lb.sys -чистый
    C:\System Volume Information\_restore{48B6B0CB-93D7-44EE-9E88-60D44B5D73C6}\RP74\A0060831.COM -чистый

    пофиксите ....
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
    выполните скрипт...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile(' C:\System Volume Information\_restore{48B6B0CB-93D7-44EE-9E88-60D44B5D73C6}\RP82\A0073645.exe','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     DelWinlogonNotifyByFileName('rpcc.dll);
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\rpcc.dll - Trojan-Proxy.Win32.Dlena.cq (DrWEB: Trojan.Proxy.2040)


  • Уважаемый(ая) QuiTTeR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 03.11.2011, 10:33
    2. Не могу одолеть Trojan-psw.win32.Kates.fc
      От Memfis в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 02.05.2010, 19:00
    3. Не могу одолеть z-connect
      От NotFound в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.06.2009, 11:57
    4. Вижу букет, но не могу его одолеть
      От fost в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.11.2008, 12:41
    5. Ответов: 1
      Последнее сообщение: 13.02.2008, 03:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01219 seconds with 17 queries