Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

Почтовый вирус (заявка № 14951)

  1. #1
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40

    Exclamation Почтовый вирус

    Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
    Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
    Заметил неладное я как только резко увеличился мой сетевой трафик. Стоял Касперский, который никак на это не реагировал. Псоле чего я поставил Симантек (Касперского отключил). Вообщем Симантек вирус тоже не обнаружил, но как только я совершаю подключение к сети (Интернет), Симантик фиксирует попытки отправления почты по всевозможным случайным бредовым адресам. Из чего я сделал вывод, что на компе поселился почтовый вирус. Хочу отметить, что никакого почтового клиента (программы) на компе не стоит. Мылом пользуюсь выходя в инет.

    Проделал всю описанную вами процедуру.
    DrWeb CureIT ничего не обнаружил.

    Файлы прилагаю.
    Надеюсь на помощь.

    P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    Код:
    begin
     BC_QrSvc('PE386');
     BC_QrSvc('msguard');
     BC_QrSvc('huy32');
     BC_QrSvc('lzx32');
     BC_QrSvc('xpdt');
     BC_QrSvc('xpdx');
     BC_DeleteSvc('PE386');
     BC_DeleteSvc('msguard');
     BC_DeleteSvc('huy32');
     BC_DeleteSvc('lzx32');
     BC_DeleteSvc('xpdt');
     BC_DeleteSvc('xpdx');
     BC_Activate;  
     RebootWindows(true); 
    end.
    Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    и такой лог сделайте http://virusinfo.info/showthread.php?t=10387

  5. #4
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    Цитата Сообщение от rubin Посмотреть сообщение
    Код:
    begin
     BC_QrSvc('PE386');
     BC_QrSvc('msguard');
     BC_QrSvc('huy32');
     BC_QrSvc('lzx32');
     BC_QrSvc('xpdt');
     BC_QrSvc('xpdx');
     BC_DeleteSvc('PE386');
     BC_DeleteSvc('msguard');
     BC_DeleteSvc('huy32');
     BC_DeleteSvc('lzx32');
     BC_DeleteSvc('xpdt');
     BC_DeleteSvc('xpdx');
     BC_Activate;  
     RebootWindows(true); 
    end.
    Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure
    Карантин пришлю позже. Сейчас на работе. А что делать с этим кодом?

    Добавлено через 1 минуту

    Цитата Сообщение от V_Bond Посмотреть сообщение
    и такой лог сделайте http://virusinfo.info/showthread.php?t=10387
    Этот лог сделать в безопасном режиме?
    Какой файл прислать после этого?

    Добавлено через 11 минут

    На первый вопрос вроде нашел ответ в других ветках.
    -------
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    ....
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    --------
    Последний раз редактировалось Deeman; 07.12.2007 в 06:52. Причина: Добавлено

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    Цитата Сообщение от Deeman Посмотреть сообщение
    Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
    Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
    Проделал всю описанную вами процедуру.
    DrWeb CureIT ничего не обнаружил.
    P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)
    Поздравляю с успешным выполнением Правил!

    DrWeb CureIT делал "полную проверку" или только "экспресс"?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    Выполнялся Второй пукт меню - Полная проверка в безопасном режиме
    Правда закачал свежую версию и запускал с компа

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    CureIT! при запуске делает т.н. экспресс-проверку. По окончании ее вы должны сами отметить пункт "Полная проверка" и нажать кнопку "Выполнить". Если вы этого не делали, сделайте.

  9. #8
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    Именно так я и сделал!

    Добавлено через 1 минуту

    Все четко по инструкции.
    Полная проверка длилась около трех часов

    Добавлено через 3 минуты

    Вспомнилася один ньюанс, возможно он имеет отношение к делу.
    Обычно в систему захожу без выбора пользователя, при входе в безопасном режиме перед проверкой CureIT, система предложила выбрать пользователя Администратор или Я. Я выбрал "себя"...)))
    Последний раз редактировалось Deeman; 07.12.2007 в 10:42. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Все замечательно. Ждем карантин и запрошенный лог.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    Карантин отправил
    Запрашиваемый лог ниже
    Что еще необходимо сделать?
    Что из оптимизации посоветуете выполнить?
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Больше ничего подозрительного не наблюдается.

    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Лишнее отключим.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    ПК домашний с выходом в инет через городского провайдера

    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)

    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

    Эти службы мне не извевсты, но чувствую, что они мне не нужны...
    Что скажете?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    Спасибо!
    Последние два вопроса
    1) При загрузке после приветствия появляется окно об остуствии файла
    ...\SystemRoute\Windows\System32\AutoChk.exe
    Что с этим делать?
    2) Включить восстановление системы (Приложение 1)?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    AutoChk.exe восстановить из дистрибутива или скопировать с другого ПК.
    Восстановление можно включить.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    Не могу найти целевую директорию.
    Однако указанный файл был найден в C:\WINDOWS\system32
    Это он?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Да, он.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    И куда его скопировать?
    Если он на своем месте, то почему система ругается?
    ...\SystemRoute\Windows\System32\

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    SystemRoute\Windows\System32\ = C:\WINDOWS\system32 возможно файл поврежден .... скопируйте его с другой машины ...

  21. #20
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    55
    Вес репутации
    40
    Замещение файла из дистрибутива проблему не сняло. Окно по-прежнему появляется.
    После перезагрузки система чем-то занята в течении получаса. Винт колбасит, загрузка системы на 50-60%...
    Монитор Симантика пока молчит. При закрытом IE трафик не меняется. Однако при открытом IE только на странице этого форума трафик переодически растет. Причем исходящий примерно равен входящему.

    Добавлено через 8 минут

    Вот что пишет система в окне
    ...\SystemRoute\Windows\System32\AutoChk.exe program not found - SKIPING AUTO HECK
    Последний раз редактировалось Deeman; 07.12.2007 в 18:28. Причина: Добавлено

  • Уважаемый(ая) Deeman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. почтовый вирус и антивирус K7AntiVirus
      От Sctricky в разделе Антивирусы
      Ответов: 0
      Последнее сообщение: 04.12.2010, 14:11
    2. Почтовый червь
      От ruslannnn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.06.2009, 13:48
    3. Почтовый вирус?
      От Acket в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:55
    4. почтовый червь !
      От Александр_Ф в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 22.02.2009, 04:48
    5. Похоже на почтовый вирус
      От alexbs в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01358 seconds with 17 queries