Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Процесс services занимается рассылкой писем (спам?) (заявка № 15945)

  1. #1
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60

    Thumbs up Процесс services занимается рассылкой писем (спам?)

    сабж, собственно... с помощью Оутпоста заблокировал процесс, выполнил 14 пунктов правил, (узнал много интересного ) теперь он (services) лезет по адресу 208.72.169.55, хочет чего-то скачать. До вполнения правил - лез по нескольким адресам (5 штук, не помню какие).

    Еще периодически пытается что-то скачать Generic Host Process for Win32 Services. Разрешив ему однократно это сделать, получил сообщение от Symantec, что обнаружен вирус.

    Заранее спасибо.

    З.Ы. сорри за опечатку в теме - следует читать "рассылкой писем"
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\SRTops32.exe','');
     QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\krdpdre.sys','');
     QuarantineFile('C:\WINDOWS\System32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\System32\config32\_0001\wizard.dll','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     DeleteFile('C:\WINDOWS\System32\config32\_0001\wizard.dll');
     DeleteFile('C:\WINDOWS\System32\xpdx.sys');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке. Повторите логи.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ....
    Код:
    O2 - BHO: (no name) - {38DFDADF-BA43-4C43-7890-ACAF12375911} - C:\WINDOWS\System32\config32\_0001\wizard.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\System32\mmsshzwhz.dll
    выполните скрипт..
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\SRTops32.exe','');
     QuarantineFile('C:\WINDOWS\System32\mmsshzwhz.dll','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\krdpdre.sys','');
     QuarantineFile('C:\WINDOWS\System32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\System32\config32\_0001\wizard.dll','');
     DeleteFile('C:\WINDOWS\System32\config32\_0001\wizard.dll');
     DeleteFile('C:\WINDOWS\System32\xpdx.sys');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\System32\mmsshzwhz.dll');
     DeleteFile('C:\WINDOWS\system32\SRTops32.exe');
     DelBHO('38DFDADF-BA43-4C43-7890-ACAF12375911');
     BC_DeleteSvc('xpdx');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    ваша главная проблема ...
    Код:
    Версия Windows: 5.1.2600, Service Pack 1 ;
    срочно нужно обновляться ...

  5. #4
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    Выполнил скрипт из 2 поста, сейчас на том компьютере не работает сеть - не разобрался еще почему, пишу с другого компа. Новые логи (делал по правилам 8-14 пункты) в аттаче.
    карантин сейчас тоже скину

    После выполнения скрипта перестал работать AVZ, скачивал заново.
    Было сообщение, что программа использует zip-папки и необходимо распаковать их. при запуске все надписи в меню и на кнопках имели вид "?ххх?", где ххх - разные символы...

    скрипт из 3 поста не выполнял и не фиксил, т.к. выполнил инструкцию из 2 поста - мало ли...

    Обновлять систему буду в ближайшее время, сначала вылечиться надо...
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    Сорри, карантин не тот сначала прислал, исправился сейчас.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    C:\WINDOWS\System32\config32\_0001\wizard.dll - Trojan-Downloader.Win32.Smal

    c:\windows\system32\svchost.exe - Trojan.Win32.Patched.bh

    Остальное подождем ответ из ЛК

    Добавлено через 1 минуту

    касперский благополучно вылечил

    Добавлено через 15 минут

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\SRTops32.exe','');
     QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
     QuarantineFile('C:\WINDOWS\System32\config32\_0001\wizard.dll','');
     QuarantineFile('C:\WINDOWS\System32\mmsshzwhz.dll','');
     QuarantineFile('C:\WINDOWS\System32\xpdx.sys','');
     QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\krdpdre.sys','');
     DeleteFile('C:\WINDOWS\System32\xpdx.sys');
     DeleteFile('C:\WINDOWS\System32\mmsshzwhz.dll');
     DeleteFile('C:\WINDOWS\System32\config32\_0001\wizard.dll');
     DeleteFile('C:\WINDOWS\system32\SRTops32.exe');
     DeleteFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\krdpdre.sys');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     DelBHO('{38DFDADF-BA43-4C43-7890-ACAF12375911}');
     BC_ImportALL;
     ExecuteSysClean; 
    BC_Activate;
     RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
    Последний раз редактировалось akoK; 04.01.2008 в 13:47. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;  
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\mmsshzwhz.dll','');
     DeleteFile('C:\WINDOWS\system32\SRTops32.exe');
     DeleteFile('C:\WINDOWS\System32\mmsshzwhz.dll');  
     BC_QrFile('C:\WINDOWS\System32\xpdx.sys');
     BC_DeleteFile('C:\WINDOWS\System32\xpdx.sys');
     BC_QrSvc('xpdx');
     BC_DeleteSvc('xpdx');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {38DFDADF-BA43-4C43-7890-ACAF12375911} - C:\WINDOWS\System32\config32\_0001\wizard.dll (file missing)
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O20 - AppInit_DLLs: C:\WINDOWS\System32\mmsshzwhz.dll
    Загрузите карантин по этой ссылке. Повторите логи.

    Выполните мой скрипт - он не дублирует карантин присланных файлов.

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Да скачайте и пройдитесь по системе AVPtool он должен вылечить Trojan.Win32.Patched.bh его еще знают немногие или заменить с дистрибютива windows (найти Svchost.ex_ и заменить _ на e)
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    2 akoK:
    выполнил скрипт из поста 6. При перезагрузке случился синий экран.
    карантин послал "Файл сохранён как 080104_045445_virus_477e1075e110e.zip"

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    pagepromoterbar.dll - not-a-virus:AdWare.Win32.Delf.aj

    SRTops32.exe_ - Backdoor.Win32.Agent.dpq

    Выполнить скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Выполните рекомендации MAXIM и повторите логи avz
    Microsoft Most Valuable Professional in Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    2 MAXIM:
    скрипт выполнил, карантин: "Файл сохранён как 080104_051230_virus4_477e149ec736d.zip" Почему-то нулевого размера файлы, в конце скрипта выдал какую-то ошибку, я не разглядел, он перегрузился сразу...
    Если не принципиально, то не пишите ребут в скрипте, я вручную перегружусь.

    2 akoK:
    пошел выполнять скрипт и делать логи...

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от akoK Посмотреть сообщение
    Выполните рекомендации MAXIM и повторите логи avz
    Выполнять мой скрипт после твоего не имеет смысла. Только xpdx.sys добить надо.

  14. #13
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    2 akoK:
    А зачем DeleteFile('C:\WINDOWS\pagepromoterbar.dll'); я пользуюсь этим баром... Или он шпионит?

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Цитата Сообщение от Maxim Посмотреть сообщение
    Выполнять мой скрипт после твоего не имеет смысла. Только xpdx.sys добить надо.
    Согласен xpdx.sys скорее всего и вызвал BSOD и неизвестно, что ушло а что осталось Еще одна проблема патченный svchost.exe

    Добавлено через 1 минуту

    pagepromoterbar.dll - not-a-virus:AdWare.Win32.Delf.aj будет добавленно в следующее обновление
    Последний раз редактировалось akoK; 04.01.2008 в 14:24. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    Цитата Сообщение от akoK Посмотреть сообщение
    Согласен xpdx.sys скорее всего и вызвал BSOD и неизвестно, что ушло а что осталось Еще одна проблема патченный svchost.exe

    Добавлено через 1 минуту

    pagepromoterbar.dll - not-a-virus:AdWare.Win32.Delf.aj будет добавленно в следующее обновление
    так я не понял - pagepromoterbar.dll удалять или нет? Я пользуюсь им, и если он не вредит мне - я бы его оставил

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Serp Посмотреть сообщение
    так я не понял - pagepromoterbar.dll удалять или нет? Я пользуюсь им, и если он не вредит мне - я бы его оставил
    Прочитайте про Adware и решите вредит он Вам или нет.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Сделайте ещё раз логи посмотрим, что осталось.

  19. #18
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    Сделал логи, правда опять не удается в инет выйти...
    Вложения Вложения

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Установочный диск Windows есть?

    Выполните скрипт в AVZ для восстановления работоспособности интернета
    Код:
    begin
    ExecuteRepair(14);
    RebootWindows(false);
    end.
    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

  21. #20
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    25
    Вес репутации
    60
    Установочный диск безвозвратно канул в лету
    Нашел установочный диск с SP2. Поставил. пока svchost.exe не вызывает подозрений у AVPtool (до переустановки не лечился).

    Вроде пока с этим компом вопросов нет.
    Огромное спасибо!

  • Уважаемый(ая) Serp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Процесс services
      От ankuzik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.06.2012, 13:09
    2. Процесс services.exe
      От Penny в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 06.08.2009, 20:36
    3. Ответов: 2
      Последнее сообщение: 04.06.2009, 13:55
    4. процесс cmd.exe и процесс services.exe
      От Produn в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.04.2009, 10:38
    5. Exchange 2003 занимается рассылкой спама
      От Serafim в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.03.2009, 21:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01345 seconds with 20 queries