Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Рассылка спама (заявка № 13043)

  1. #1
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38

    Thumbs up Рассылка спама

    Добрый вечер!
    Началось 6-го октября, обратил внимание на то, что значек в трее подозрительно горит, не мигая, хотя сидел только в чате. В дальнейшем определил: после включения ADSL модема происходит попытка связи с IP 208.72.168.137 после соединения модема к сетью открывается порт 25 и по протоколу SMTP начинается отправка сообщений с моего ПК. Заметил, что при подключении к сети после 22ч00м спам не отправляется, соединени по IP 208.72.168.137 не устанавливается. При сканировании ПК AVZ и подключенном модеме к ПК, но отключенном от сети (и при попытке установлении связи с IP 208.72.168.137) система падает в даун (экран смерти), сканирование произвел при отключенном модеме.
    Прошу решить мою проблему.
    Спасибо.
    P.S. Диск С:/ не открывается обычным нажатием мыши, а только через меню или проводник. Выдается сообщение: " не найден copy.exe.
    Вложения Вложения
    Последний раз редактировалось Andrew632; 09.10.2007 в 19:55. Причина: P.S.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Код:
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('Fvl59.sys','');
    QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys ','');
    BC_QrSvc('Fvl59');
    DeleteFile('C:\WINDOWS\system32\drivers\Fvl59.sys'); 
    DeleteFile('Fvl59.sys');
    DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys ');
    BC_DeleteSvc('symavc32');
    BC_DeleteSvc('Fvl59');
    BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true); 
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38

    Рассылка спама

    При выполнении скрипта система пошла в ребут, после отключения от сети скрипт отработал нормально.
    А что делать с сообщением при открытии диска C: все так же пишет не найден copy.exe?
    файл карантина выслал.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите...
    Код:
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    C:\autorun.inf Trojan.Autorun.EU
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\plnt.exe','');
     DeleteFile('C:\autorun.inf');
     BC_ImportDeletedList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    выполните это ... http://virusinfo.info/showthread.php?t=8877

  6. #5
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38

    Рассылка спама

    Сегодня наступил момент истины!
    Надеюсь, что все чисто, в сеть сам больше не пытается войти.
    Огромное спасибо
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    думаю вам это потенциально опасное по не нужно
    C:\WINDOWS\system32\plnt.exe not-a-virus:Monitor.Win32.Processlogger.c
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\plnt.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите лог Hijack ...

  8. #7
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38
    Здравствуйте.
    plnt.exe устанавливал сам для контроля запуска/установки приложений в мое отсутствие. В настоящее время служба не запускается.
    Меня беспокоит невозможность пользованием "поиском" через меню пуск. Не работает.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Сделайте в AVZ:
    Файл - Восстановление системы - отметить п.4,5,6,8 - Выполнить.

    2. Обратите внимание:
    Код:
    C:\Program Files\OLIS\OLIS Piggybank\udf\MyDocStr.dll >>> подозрение на Trojan.Win32.Happyday ( 09E67D81 04B39E85 0023D08F 00279D21 62976)
    C:\Program Files\OLIS\OLIS Piggybank\udf\MyMark.dll >>> подозрение на Trojan.Win32.Happyday ( 09F16D26 04ACF246 0023D08F 002ECC39 62976)
    C:\Program Files\OLIS\OLIS Piggybank\udf\PerNum.dll >>> подозрение на Trojan.Win32.Happyday ( 09E2A69E 052817DE 0023D08F 00242283 62976)
    Если эта программа на самом деле нужна,
    проверьте файлы на www.virustotal.com,
    а если нет - удалите.

    3. Это лучше отключить, если не используете:
    Код:
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38
    Вечер добрый.
    п.1-выполнил.
    п.2-выполнил.
    п.3-выполнил частично, по telnet идет доступ к модему, в котором заблокирован вход из сети по 23 порту.
    "Поиск" не появился.
    Отсутствует "Корзина".
    Не запускается служба IPSEC(незнаю, нужна ли она на самом деле)
    Последний раз редактировалось Andrew632; 11.10.2007 в 18:16. Причина: IPSEC

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Сходи на http://www.kellys-korner-xp.com/xp_tweaks.htm
    Там есть правки реестра для восст. поиска, да и про "Корзину" там же можно найти
    Про поиск искать в Глоссарии (http://www.kellys-korner-xp.com/xp_abc.htm)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38

    Рассылка спама

    Здравствуйте. Все вернулось...
    Сегодня при входе в личный кабинет обнаружил, что на странице авторизации цвета не соответствуют обычным. После авторизации страница приняла обычный вид.
    Это вызвало у меня подозрение, что кто то "подсунул" мне эту страничку. Начал проверять ПК. Оказалось, что;
    системная дата не соответствует(26 число)
    в автозагрузке появился процесс ntos и ни как не могу его отключить

    появился процесс aswRdr( в последнем не уверен)
    появилась ошибка "сбой загрузки драйвера oreans32, сбой запуска Диспетчера подключения удаленного доступа из-за службы Телефония, которую не удалось запустить.

    Происходят попытки связаться с 88.255.90.50

    Спасибо.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis (что останется):
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
    Сделайте такой лог:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38

    Рассылка спама

    Все сделал, по вышеперечисленному IP не "стучится". Но ошибки при запуске системы остались.
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\SystemRoot\system32\DRIVERS\imagedrv.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил....
    вам действительно нужен такой огромный хост файл ?
    какие ошибки ... подробнее...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('oreans32');
    BC_Activate;
    RebootWindows(true);
    end.
    AswRdr.sys - это драйвер от Avast'a.
    Ничего подозрительного больше не вижу.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38

    Рассылка спама

    Здравствуйте. Все выполнил, файл выслал.
    Спасибо.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    файлик в карантин не попал ... если у вас установлен неро , то в принципе ничего подозрительного ...
    так что насчет хост файла ? (работа в интернет замедляется )

  19. #18
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38
    Неро отсутствует. Странно, в Зипе и в карантине ничего нет Я уже слышал, как у кого-то то-же неоказалось файлов в архиве.
    По хост файлу... вроде как это должно блокировать доступ на эти IP, правда, сомневаюсь в этом. Как поступить? Посоветуйте!

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    советую AVZ - восстановление системы - пункт 13 - выполнить ....

  21. #20
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    11
    Вес репутации
    38
    Выполнил.
    Так что у меня было? Как то странно, второй раз за месяц и антивирь молчал.
    Постоянно захожу на одни и те же сайты, практически ничего не качаю. По почте последнее время спам не получал. Постоянно проверяю ручками папку ТMP и System32 на появление новых файлов(по дате) они, что изменяя файл оставляют старую дату?
    Какова вероятность, что эта бяка затаилась у меня где-нибудь в архивах?
    Спасибо!

  • Уважаемый(ая) Andrew632, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. рассылка спама
      От Bizant в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2009, 10:55
    2. Рассылка спама
      От Alex L в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:57
    3. рассылка спама
      От Recediff в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 07:57
    4. рассылка спама
      От YaSam в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:56
    5. Рассылка спама
      От gss1234 в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 11.10.2007, 16:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00036 seconds with 17 queries