Показано с 1 по 19 из 19.

Спамбот. (заявка № 13902)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39

    Exclamation Спамбот.

    Подцепил заразу, не могу извести!
    Последний раз редактировалось YuriJJ; 13.05.2008 в 09:31.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\actcontroller.exe,
    O2 - BHO: (no name) - {6C6B8C69-9285-4D94-8492-9E920C8C2B65} - C:\WINDOWS\System32\uncwqs.dll
    O2 - BHO: (no name) - {74f25a2c-22b3-4023-8f1a-ca616c30a8b5} - C:\WINDOWS\System32\wintst.dll
    O3 - Toolbar: (no name) - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\WINDOWS\System32\mssvmdll.dll
    O3 - Toolbar: (no name) - {12EE7A5E-0674-42f9-A76B-000000004D00} - C:\WINDOWS\System32\stubext.dll
    Не перезагружаясь после этого, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\stubext.dll','');
     QuarantineFile('C:\WINDOWS\System32\mssvmdll.dll','');
     QuarantineFile('c:\documents and settings\user\application data\oti\ezlogin\exec\ezlogin.exe','');
     QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
     QuarantineFile('C:\WINDOWS\system32\actcontroller.exe','');
     QuarantineFile('C:\WINDOWS\RavMonE.exe','');
     QuarantineFile('C:\Documents and Settings\User\systerm.exe','');
     QuarantineFile('C:\WINDOWS\System32\wintst.dll','');
     QuarantineFile('C:\WINDOWS\System32\uncwqs.dll','');
     QuarantineFile('C:\WINDOWS\system32\frmwrk.exe','');
     QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\frmwrk.exe');
     DeleteFile('C:\WINDOWS\System32\uncwqs.dll');
     DeleteFile('C:\WINDOWS\System32\wintst.dll');
     DeleteFile('C:\WINDOWS\RavMonE.exe');
     DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
     DeleteFile('C:\WINDOWS\system32\ldr.exe');
     DeleteFile('C:\WINDOWS\System32\mssvmdll.dll');
     DeleteFile('C:\WINDOWS\System32\stubext.dll');
    BC_ImportALL;
    BC_DeleteSvc('FCI');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39
    Все сделал.
    Карантин:

    Файл сохранён как071106_072717_virus_47306bb529e3a.zipРазмер файла115351MD52c33eebb7906ecee4b3628ac63a7b5e1

    Новые логи.
    Последний раз редактировалось YuriJJ; 13.05.2008 в 09:31.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    c:\documents and settings\user\application data\oti\ezlogin\exec\ezlogin.exe
    Этот файл в карантин не попал. Поищите вручную и пришлите по правилам.
    I am not young enough to know everything...

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Trojan-Proxy.Win32.Agent.gz c:\docume~1\user\locals~1\temp\winlogon.exe
    Packed.Win32.Tibs.dd C:\WINDOWS\system32\frmwrk.exe

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Попутно гляньте, что вам нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Ненужное отключим.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    c:\documents and settings\user\application data\oti\ezlogin\exec\ezlogin.exe
    Этот файл в карантин не попал. Поищите вручную и пришлите по правилам.
    Эта штука знакомая! Програма для сканирования отпечатков на флешке.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта http://download.drweb.com/win и установите.

  10. #9
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Попутно гляньте, что вам нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Ненужное отключим.

    Отключил всё!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Тогда осталась только одна козявка. Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\User\systerm.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Добавлено через 41 секунду

    И контрольные логи, начиная с п.10 правил.
    Последний раз редактировалось Bratez; 06.11.2007 в 16:50. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта http://download.drweb.com/win и установите.

    Ставлю!

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    1. C:\WINDOWS\System32\stubext.dll
    TR/Agent.Small.svc (AntiVir)
    (Avast) Win32:Adware-gen
    (Fortinet) Misc/SpywareSoftStop
    (F-Prot) W32/Backdoor.BYIN
    (Ikarus) Virus.Win32.AdWare
    и т.д.
    2. C:\WINDOWS\System32\mssvmdll.dll
    (eSafe) suspicious Trojan/Worm
    (FileAdvisor) High threat detected
    (Fortinet) Misc/SpywareSoftStop
    и т.д.
    3. C:\Documents and Settings\User\systerm.exe
    (AntiVir) TR/Agent.Small.svc
    (F-Prot) W32/Backdoor.BYIN
    и т.д.
    4. C:\WINDOWS\System32\wintst.dll
    (AntiVir) TR/Agent.Small.svc
    (NOD32v2) Win32/SpywareSoftstop
    и т.д.
    5. C:\WINDOWS\System32\uncwqs.dll
    (Microsoft) Program:Win32/SpywareSoftStop
    (NOD32v2) Win32/SpywareSoftstop
    и т.д.

  14. #13
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39
    Цитата Сообщение от rubin Посмотреть сообщение
    1. C:\WINDOWS\System32\stubext.dll
    TR/Agent.Small.svc (AntiVir)
    (Avast) Win32:Adware-gen
    (Fortinet) Misc/SpywareSoftStop
    (F-Prot) W32/Backdoor.BYIN
    (Ikarus) Virus.Win32.AdWare и т.д.
    2. C:\WINDOWS\System32\mssvmdll.dll
    (eSafe) suspicious Trojan/Worm
    (FileAdvisor) High threat detected
    (Fortinet) Misc/SpywareSoftStop и т.д.
    3. C:\Documents and Settings\User\systerm.exe
    (AntiVir) TR/Agent.Small.svc
    (F-Prot) W32/Backdoor.BYIN и т.д.
    4. C:\WINDOWS\System32\wintst.dll
    (AntiVir) TR/Agent.Small.svc
    (NOD32v2) Win32/SpywareSoftstop и т.д.
    5. C:\WINDOWS\System32\uncwqs.dll
    (Microsoft) Program:Win32/SpywareSoftStop
    (NOD32v2) Win32/SpywareSoftstop и т.д.

    1. C:\WINDOWS\System32\stubext.dll
    TR/Agent.Small.svc (AntiVir)
    (Avast) Win32:Adware-gen
    (Fortinet) Misc/SpywareSoftStop
    (F-Prot) W32/Backdoor.BYIN
    (Ikarus) Virus.Win32.AdWare
    и т.д.

    А этот гад еще и в C:\Documents and Settings\User лежит!

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Вам же сказали сделать логи повторно... увидим

  16. #15
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Тогда осталась только одна козявка. Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\User\systerm.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Добавлено через 41 секунду

    И контрольные логи, начиная с п.10 правил.
    Сделал.
    Последний раз редактировалось YuriJJ; 13.05.2008 в 09:31.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Hello,
    avz00003.dta, avz00004.dta, avz00005.dta, avz00006.dta, avz00007.dta
    No malicious code were found in these files.
    Please quote all when answering.
    --
    Best regards, Ermilov Maxim
    Virus analyst, Kaspersky Lab.
    e-mail: newvirus@kaspersky.com
    http://www.kaspersky.com/
    Это про stubext.dll, mssvmdll.dll, systerm.exe, wintst.dll, uncwqs.dll...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Что-то мы все дружно прозевали:
    Код:
    O4 - HKCU\..\Run: [SpywareSoftStop] C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe
    Вроде ее можно прибить через Установка/удаление программ.
    Если нет - пофиксите и папку удалите C:\Program Files\SpywareSoftStop.

    Удаленные dll-ки - ее причиндалы. Кстати, в ЛК я такие отправлял где-то неделю назад, тоже отлуп пришел .
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    122
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Что-то мы все дружно прозевали:
    Код:
    O4 - HKCU\..\Run: [SpywareSoftStop] C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe
    Вроде ее можно прибить через Установка/удаление программ.
    Если нет - пофиксите и папку удалите C:\Program Files\SpywareSoftStop.

    Удаленные dll-ки - ее причиндалы. Кстати, в ЛК я такие отправлял где-то неделю назад, тоже отлуп пришел .
    Сделал.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    67
    В логах больше ничего зловредного нет.
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) YuriJJ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Спамбот и всё такое
      От maverik505 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.01.2010, 20:32
    2. Обнаружен спамбот.
      От Yarik в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.11.2009, 16:14
    3. спамбот
      От Gaer в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:42
    4. Живет ли у меня спамбот? ;-)
      От GRom в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.06.2007, 16:36
    5. Ахтунг, спамбот!
      От Xen в разделе Вредоносные программы
      Ответов: 6
      Последнее сообщение: 19.03.2006, 14:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00892 seconds with 16 queries