Показано с 1 по 14 из 14.

Помогите вирус рассылает множество сообщений по smtp (заявка № 13572)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37

    Thumbs up Помогите вирус рассылает множество сообщений по smtp

    Есть две рабочие станции с которых постоянно, но с периодичностью сыпется огромное количество smtp сообщений, при этои обнаружена активность svhost, на вашем форуме на страничке http://forum.kaspersky.com/index.php?showtopic=49540 нашел похожую ситуацию, так как removeit pro смогла найти msdnc3.exe, но удалит не смогла, пришлость удалить как вы сказали при помощи скрипта в avz, сделал это на обоих рабочих станциях создал quarantin, который прислал вам, вроде перестало но потом опять восстановилось и содной и другой машины, что делать не знаю, так как снял винт проверил на другой машине ничего не нашла, переуствновить не дают систему< придется лечить что делать, help crochno
    Добавил новое сообщение помогите
    Последний раз редактировалось tennisprof; 26.10.2007 в 15:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Вопрос : вы правила читали ? По моему нет

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37

    Помогите!!!!

    Да вы правы, теперь прочитал и отсылаю все необходимое, а именно данные с двух рабочих станций,
    Помогите пожалуйста ....
    Последний раз редактировалось tennisprof; 26.10.2007 в 18:11.

  5. #4
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37
    Добавил необходимую информацию с форума

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Скажите честно Вы понимаете как нам теперь писать скрипты?
    Буду писать только для одной. Вторую будем лечить в другой теме.

    11.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\fci.exe','');
     BC_QrFile('C:\WINDOWS\system32\fci.exe');
     BC_DeleteSvc('FCI');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13572
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37
    Я сделал для данных без единички hijackthis, .....Сейчас пришлю карантин, спасибо

    Добавлено через 20 минут

    На рабочей станции где был fci сделал скпирт выполнил, карантин отослал

    Добавлено через 16 минут

    А новую тему не дает создать и прислать сообщения по поводу другой рабочей станции

    Добавлено через 2 минуты

    Но кстати на той машине файл в System32 fci.exe остался может этим скриптом вы его поfixeli или он должен был удалиться
    Последний раз редактировалось tennisprof; 26.10.2007 в 16:39. Причина: Добавлено

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Файл не удалял. Удалил только сервис.
    Карантин надо загрузить.

    если бы базы AVZ были обновлены, то она сама бы справилась
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37
    А что значит, карантин надо загрузить, да у меня сейчас в карантине два этих файла, так и должно быть! А что с другой рабочей станцией я не могу создать новую тему, так как она (Имеется ввиду ПО загрузки файлов) мне не позволяет загрузить необходимую информацию.

    Добавлено через 3 минуты

    TCP Х.Х.Х.37:445 Х.Х.Х.56:1306 ESTABLISHED
    А почему у меня в netstat -an на Х.Х.Х.37 висит такой процесс и именно с той рабочей станции на которой тоже отпрвляет по smtp (Х.Х.Х.56), единственное у них общий ресурс, может из-за этого, это нормально!
    Последний раз редактировалось tennisprof; 26.10.2007 в 17:01. Причина: Добавлено

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    вроде бы все написал:
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13572
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37
    Да я вроде сделал, что написано в приложении 3, я только не понял надо мне теперь что-то делать на рабочей станции, потому что карантин я прислал, а fix не проводил

    Добавлено через 2 минуты

    Потому что мне кажется, что наибоолее активная станция именно 2-рая, то есть файлы с префиксом 1, но только я еще раз не понял с первой я закончил или нет,
    Последний раз редактировалось tennisprof; 26.10.2007 в 17:14. Причина: Добавлено

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    C:\WINDOWS\system32\fci.exe - Trojan.Inject.412(Др.Веб),Trojan.Win32.Agent.bow(К асперский)

    Будем удалять.

    чтобы логи другой машины прикрепить к другой теме, надо их отсюда удалить через "Мой кабинет"

    Добавлено через 2 минуты

    Выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\fci.exe');
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\fci.exe ');
      ExecuteSysClean;     
     BC_Activate;
    
     RebootWindows(true);
    end.
    Сделать логи с этой машины.
    Последний раз редактировалось PavelA; 26.10.2007 в 17:25. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37
    сделал, блин файлов много из=за этого так долго, сори
    Последний раз редактировалось tennisprof; 26.10.2007 в 19:20.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    удалите временные интернет файлы ... в логах чисто ....

  15. #14
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    37
    то есь все

  • Уважаемый(ая) tennisprof, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Множество smtp-подключений при появлении сети (заявка №2021)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 00:00
    2. Вирус блокирует smtp и рассылает спам
      От kit_germany в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.07.2009, 17:29
    3. Проблема с отправком сообщений по smtp
      От tennisprof в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    4. Ответов: 5
      Последнее сообщение: 22.02.2009, 01:33
    5. Ответов: 6
      Последнее сообщение: 13.12.2006, 19:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01609 seconds with 16 queries