Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Рассылка спама (заявка № 13106)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Thumbs up Рассылка спама

    Очередной компьютер в сети подцепил заразу. Антивирус не помогает.
    Опять обращаюсь к Вам за помощью.

    Идёт рассылка спама на 25 порт.

    Syscure проверил, но в safe mode, т.к. в нормальном режиме при проверке комп. перезагружается.
    AVZ скрипт №3 так же выполнил в safe mode, по той же причине.

    Помогите вылечить, Спасибо.
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Отключить антивирус. Выполнить скрипт в Safe Mode:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     Clearhostsfile;
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('Sku44.sys','');
     BC_DeleteFile('\SystemRoot\System32\drivers\Sku44.sys');
     BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     BC_DeleteFile('C:\WINDOWS\System32\ntos.exe');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('Sku44');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить карантин через ссылку вверху.

    Сделать новый комплект логов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Выполнил

    Выполнил высылаю новые логи.
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    вот чему я удивляюсь, что вы не учитесь на прошлых ошибках. Опять комп оставили под админом , а нужно под ограниченным пользователем- тогда часть зловредов просто не смогут установиться.
    Логи сделать в нормальном режиме.

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Не получается

    В нормальном режиме, при выполнении скрипта №3 в AVZ, опять перезагружается.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Тогда так :
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    1.
    Код:
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\driveres\nwfilter.sys','');
     QuarantineFile('C:\WINDOWS\tsitra801.exe','');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\tsitra801.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13106

    3. В безопасном режиме выполнить вот это: http://virusinfo.info/showthread.php?t=10387
    Последний раз редактировалось drongo; 11.10.2007 в 11:32.

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Все сделал.

    Спасибо, всё сделал. Спам прекратился. Высылаю логи.
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Больше ничего подозрительного в логах нет.
    Только пофиксите строчку в HijackThis:
    Код:
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    Вот что у вас плохо:
    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Необходимо установить SP2 + последующие обновления, и чем скорее тем лучше (потребуется повторная активация Windows). Затем отключить потенциально опасные вещи, за исключением реально используемых:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Новый спам

    Теперь с другого компьютера полетело. Cureit, что-то находит, удаляет, но легче от этого не становится. Опять нужна помощь.
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Для другого компьютера полагается новую тему открывать.
    Ну да ладно, модераторы передвинут.
    А пока выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
     QuarantineFile('C:\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('c:\windows\temp\hd3.tmp','');
     DeleteFile('c:\windows\temp\hd3.tmp');
     DeleteFile('C:\Temp\winlogon.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Выслал

    Карантин выслал

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ого - аж 7,5Mb! Если не сложно, пришлите отдельно эти файлы:
    C:\WINDOWS\system32\ntkrnlpa.exe
    C:\WINDOWS\system32\ntoskrnl.exe
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Отправил

    Пришлось забирать файлы в безопасном режиме.

    Добавлено через 9 минут

    Всё равно рассылка продолжается.
    Последний раз редактировалось gss1234; 11.10.2007 в 14:27. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Оба файла патченные: Trojan.Win32.Patched.au
    Варианты действий:
    1. Заменить файлы чистыми из дистрибутива.
    2. Установить антивирус Касперского - он это добро лечить умеет.

    Добавлено через 44 секунды

    После этого сделайте новые логи.
    Последний раз редактировалось Bratez; 11.10.2007 в 14:42. Причина: Добавлено
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Высылаю

    Высылаю логи
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Хорошо. Я в таких случаях обычно говорю: кроме Symantec'a ничего вредоносного в логах не видно Надеюсь, проблем больше нет? Для профилактики неплохо бы устранить потенциальные уязвимости:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Скажите, что нужно / не нужно - сделаем скрипт для поправки.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Спасибо

    Большое спасибо. Рассылка прекратилась. А чем Вам не по душе Symantec?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    А чем Вам не по душе Symantec?
    Ну как вам сказать... Где он был например, когда все это к вам пролезло? Зловреды-то уже давно знакомые. И таких примеров - много. Отсюда и сомнения (мягко говоря) в эффективности.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Что взамен?

    Kaspersky Total Space Security на 60 комп. 4400 + 2861 * 60 = ~ 171 000 руб. А на след. год опять 2861 * 60 ?

    А во втором офисе ещё 30 компов.

    В итоге, Symantec дешевле, и судя по рейтингам идёт наравне с Kaspersky.

    Кстати и Nod32 и DrWeb и Symantec, что-то находили, частично удаляли, но ничего не помогало. Kaspersky не пробовал, ничего сказать не могу.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Как вариант:
    KAV 7.0 на 60 пк = 12 лицензий по 5 пк = 12 * 3200 = 38400 руб.
    I am not young enough to know everything...

  • Уважаемый(ая) gss1234, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. рассылка спама
      От Bizant в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2009, 10:55
    2. Рассылка спама
      От Alex L в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:57
    3. рассылка спама
      От Recediff в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 07:57
    4. рассылка спама
      От YaSam в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:56
    5. Рассылка спама
      От Andrew632 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 02:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00488 seconds with 16 queries