Показано с 1 по 13 из 13.

Нечто рассылает спам с моего компа (заявка № 18174)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    10
    Вес репутации
    37

    Thumbs up Нечто рассылает спам с моего компа

    Добрый день! Замучился уже со своей заразой. Очень рассчитываю на вашу помощь!

    Вирус активизируется в момент подключения к сети. Активность вируса я обнаружил всвязи с попытками Symantec проверять каждое отправляемое сообщение. После отключения "ненужных" процессов из списка, вирус утихал, рассылка прекращалась.

    Сначала мой антивирус (Symantec) отлавливал два вируса Trojan.Pandex (каждый раз новый файл в папке Temp) и Trojan.Horse (smtpdrv.sys), в списке процессов появлялся неучтенный iexplorer.exe. Убивал iexplorer.exe из процессов, все утихало. Прочитал как лечить эти вирусы, удалил все что они понасоздавали в реестре и на диске, прогнал сканирование - все вроде чисто.

    После чего стал ловится только Trojan.Pandex, спамерство продолжилось, в процессах запускался svchost.exe в момент подключения к сети. Убивал этот svchost.exe из процессов, все утихало.

    Прогнал еще раз полный скан Symantec-ом и Trend-ом вроде ничего не нашел, а вирус опять трансформировался. Теперь больше ничего не вылавливается в момент подключения к сети и в процессах запускается svchost в 3-х экземплярах. Теперь для нормальной работы приходится убивать все три штуки.

    Чего с этим дальше делать не понимаю, логи прилагаю.
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Lqu62');
     SetServiceStart('Lqu62', 4);
     StopService('Chl51');
     SetServiceStart('Chl51', 4);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Lqu62.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Chl51.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
     DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Chl51.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
    BC_ImportALL;
    BC_DeleteSvc('Chl51');
    BC_DeleteSvc('Lqu62');
    BC_DeleteSvc('smtpdrv');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18174).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    10
    Вес репутации
    37
    Спасибо за оперативность!
    Карантин выложил, логи повторно прилагаю.

    Пока продолжаю спамить ...
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Email-Worm.Win32.Agent.e C:\WINDOWS\system32\WLCtrl32.dll
    Trojan.Win32.Agent.eub C:\WINDOWS\system32\LogCrypt.dll
    Логи сейчас гляну

    Добавлено через 6 минут

    Выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Lqu62');
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
     DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     BC_DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     BC_DeleteSvc('Lqu62');
     BC_DeleteSvc('symlcbrd');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Лог virusinfo_syscure повторите

    Добавлено через 13 минут

    Скрипт исправил... если еще не выполнили старый
    Последний раз редактировалось rubin; 17.02.2008 в 17:48. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    10
    Вес репутации
    37
    Выполнил старый.
    Этот выполнять?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Нет уже... делайте новые логи, симантек работает?

  8. #7
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    10
    Вес репутации
    37
    Symantec работает, логи прилагаю
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Скачайте .... меню File - файл C:\WINDOWS\system32\Drivers\Lqu62.sys -force delete ...
    затем выполните скрипт авз ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Lqu62');
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
     BC_DeleteSvc('Lqu62');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    10
    Вес репутации
    37
    Уф, вроде утихла рассылка. Что-нибудь еще надо сделать?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Повторить логи с п.10 Правил

  12. #11
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    10
    Вес репутации
    37
    Выкладываю ...
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Все чисто

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\logcrypt.dll - Trojan.Win32.Agent.eub (DrWEB: Trojan.DownLoader.46414)
      2. c:\\windows\\system32\\wlctrl32.dll - Email-Worm.Win32.Agent.e (DrWEB: Trojan.DownLoader.47421)


  • Уважаемый(ая) eugene_fomin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Компьютер рассылает спам от моего имени
      От Kalissa в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 12.11.2009, 14:51
    2. Кто-то рассылает спам с моего компьютра
      От housecat в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.08.2009, 14:12
    3. Ответов: 2
      Последнее сообщение: 22.02.2009, 05:45
    4. Что-то рассылает спам с моего компьютера
      От fitter в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.08.2008, 10:27
    5. Кто-то рассылает спам с моего компа
      От Gilkim в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.08.2007, 14:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00571 seconds with 17 queries