Нечто рассылает спам с моего компа

**eugene_fomin** · 17.02.2008, 15:55

Добрый день! Замучился уже со своей заразой. Очень рассчитываю на вашу помощь!

Вирус активизируется в момент подключения к сети. Активность вируса я обнаружил всвязи с попытками Symantec проверять каждое отправляемое сообщение. После отключения "ненужных" процессов из списка, вирус утихал, рассылка прекращалась.

Сначала мой антивирус (Symantec) отлавливал два вируса Trojan.Pandex (каждый раз новый файл в папке Temp) и Trojan.Horse (smtpdrv.sys), в списке процессов появлялся неучтенный iexplorer.exe. Убивал iexplorer.exe из процессов, все утихало. Прочитал как лечить эти вирусы, удалил все что они понасоздавали в реестре и на диске, прогнал сканирование - все вроде чисто.

После чего стал ловится только Trojan.Pandex, спамерство продолжилось, в процессах запускался svchost.exe в момент подключения к сети. Убивал этот svchost.exe из процессов, все утихало.

Прогнал еще раз полный скан Symantec-ом и Trend-ом вроде ничего не нашел, а вирус опять трансформировался. Теперь больше ничего не вылавливается в момент подключения к сети и в процессах запускается svchost в 3-х экземплярах. Теперь для нормальной работы приходится убивать все три штуки.

Чего с этим дальше делать не понимаю, логи прилагаю.
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 17.02.2008, 16:05

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Lqu62');
 SetServiceStart('Lqu62', 4);
 StopService('Chl51');
 SetServiceStart('Chl51', 4);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Lqu62.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Chl51.sys','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
 DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Chl51.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_ImportALL;
BC_DeleteSvc('Chl51');
BC_DeleteSvc('Lqu62');
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18174).
Сделайте новые логи.

**eugene_fomin** · 17.02.2008, 17:08

Спасибо за оперативность!
Карантин выложил, логи повторно прилагаю.

Пока продолжаю спамить ...

**rubin** · 17.02.2008, 17:48

Email-Worm.Win32.Agent.e C:\WINDOWS\system32\WLCtrl32.dll
Trojan.Win32.Agent.eub C:\WINDOWS\system32\LogCrypt.dll
Логи сейчас гляну

Добавлено через 6 минут

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Lqu62');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
 DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
 BC_DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
 BC_DeleteSvc('Lqu62');
 BC_DeleteSvc('symlcbrd');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Лог virusinfo_syscure повторите

Добавлено через 13 минут

Скрипт исправил... если еще не выполнили старый

**eugene_fomin** · 17.02.2008, 17:51

Выполнил старый.
Этот выполнять?

**rubin** · 17.02.2008, 18:23

Нет уже... делайте новые логи, симантек работает?

**eugene_fomin** · 17.02.2008, 19:28

Symantec работает, логи прилагаю

**rubin** · 17.02.2008, 19:32

Скачайте .... меню File - файл C:\WINDOWS\system32\Drivers\Lqu62.sys -force delete ...
затем выполните скрипт авз ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Lqu62');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Lqu62.sys');
 BC_DeleteSvc('Lqu62');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

**eugene_fomin** · 17.02.2008, 20:09

Уф, вроде утихла рассылка. Что-нибудь еще надо сделать?

**rubin** · 17.02.2008, 20:22

Повторить логи с п.10 Правил

**eugene_fomin** · 17.02.2008, 22:21

Выкладываю ...

**rubin** · 17.02.2008, 22:23

Все чисто

**CyberHelper** · 22.02.2009, 03:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 14
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\logcrypt.dll - Trojan.Win32.Agent.eub (DrWEB: Trojan.DownLoader.46414)
2. c:\\windows\\system32\\wlctrl32.dll - Email-Worm.Win32.Agent.e (DrWEB: Trojan.DownLoader.47421)

Нечто рассылает спам с моего компа (заявка № 18174)

Опции темы

Нечто рассылает спам с моего компа

Итог лечения

Похожие темы

Компьютер рассылает спам от моего имени

Кто-то рассылает спам с моего компьютра

Вирус, рассылает спам с моего комппьютера

Что-то рассылает спам с моего компьютера

Кто-то рассылает спам с моего компа

Ваши права в разделе