Показано с 1 по 8 из 8.

Подозрение на спам-бота, лечение не удается (заявка № 18413)

  1. #1
    Junior Member Репутация
    Регистрация
    21.02.2008
    Сообщений
    4
    Вес репутации
    36

    Exclamation Подозрение на спам-бота, лечение не удается

    Простите, что создам с нарушением, но система не позволяет мне выполнить все пункты. На машине стоял то ли Аваст, то ли НОД 2.х, с нее идут пакеты на 25 порт. CureIt при запуске уводит машину в BSOD с ошибкой 7E. Удалил, поставил KAV 6.0.3 WS, нашел несколько бэкдоров, троянов, но спам не прекратился. Удалил, поставил DrWeb, толку нет, т.к. при запуске сканера "синий экран" с той же ошибкой. Безопасный режим не помогает, все антивири с последними базами. AVZ сообщает "модификация машинного кода", но при попытке лечения все тот же синий экран. Выкладываю, что получилось. Помогите, если еще можно чем...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните такой скрипт в AVZ:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Vyad38', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Vyad38.sys');
     BC_DeleteSvc('Vyad38');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Vyad38.sys');
     BC_Activate;
     RebootWindows(true); 
    end.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новый лог syscheck.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    21.02.2008
    Сообщений
    4
    Вес репутации
    36
    Спасибо за оперативность, но данный скрипт также уводит в синий экран при выполнении Карантин пустой, чувствую неизлечимый случай, придется заливать образ....

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Не торопитесь. Попробуем так:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Vyad38\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Vyad38.sys');
     BC_DeleteSvc('Vyad38');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Vyad38.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Если выполнится без сбоев, приложите файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    21.02.2008
    Сообщений
    4
    Вес репутации
    36
    Такой скрипт выполняется успешно, но ось потом не загружается. При загрузке в любом режиме стоп-ошибка 0х69 IO1_INITIALIZATION_FALED. Пришлось загрузить последнюю удачную конфигурацию. Вручную удалял все "LEGACY_Vyad38" в реестре, но после перезагрузки опять все прописано. Про лог забыл, буду на месте гляну.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Попробуйте скрипт из сообщения #2, убрав из него первую строчку после begin.

    Добавлено через 1 минуту

    Если есть возможность загрузиться с LiveCd или в консоль восстановления - просто удалите файл C:\WINDOWS\System32\drivers\Vyad38.sys, потом сделайте лог syscheck - почистим остатки.
    Последний раз редактировалось Bratez; 27.02.2008 в 14:11. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    21.02.2008
    Сообщений
    4
    Вес репутации
    36
    Извините за молчание, уезжал на курсы, перед этим настроил автоматическое обновление Windows. Загрузиться с LiveCD было трудно, т.к. там нету привода. Поэтому в безопасном режиме без эксплорера удалял вручную, кажется с двух перезагрузок только получатеся все удалить. Сейчас на той машине паразитного трафика нет, AVZ молчит, DrWeb не вылетает в синий экран. Думаю все чисто. Но на другой машине появилась такая же фигня, и после полного удаления, заражается опять (драйвер уже с другим именем появляется), пока не обновишь систему избавиться не удается. Если вовремя обновляться, то вероятно такая зараза и не прицепится, имхо.
    Спасибо за помощь.
    Последний раз редактировалось coolpunk; 14.03.2008 в 09:21. Причина: добавить

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    На всякий случай сделайте логи с этой машины для контроля.
    Можете сделать логи с другой зараженной машины, открыть новую тему и прикрепить там логи. Посмотрим.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) coolpunk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не удается удается удалить вирус Net-Worm.Win32.Kolab.fhi (заявка №1009)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.02.2010, 18:01
    2. Ответов: 9
      Последнее сообщение: 28.06.2009, 11:24
    3. Как вылечиться от спам-бота Horst?!!
      От Jolly Roger в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:33
    4. Нужна помощь в удалении спам-бота
      От Gre4ka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.05.2008, 15:28
    5. Ответов: 2
      Последнее сообщение: 22.12.2007, 10:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00798 seconds with 17 queries