Junior Member
Вес репутации
59
Кажется Спам-бот !
Доброго времени суток всем !
Вобщем я даже уверен в этом.
Слишком много идентичных электронных писем в определенное время
Отправитель: "Reba Gilmore" <[email protected] >
Получатель: <[email protected] >
Тема: Jetzt bestellen und ein blaues Wunder erleben
Помогите пожалуйста решить проблему.
Последний раз редактировалось Negima; 22.03.2008 в 16:52 .
Причина: Добавлено
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
59
Вот логи !
Уважаемые ещё раз прошу, помогите пожалуйста.
Вложения
скачайте C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Sgu56.sys - force delete
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteService('burito59ef-fc2');
QuarantineFile('C:\WINDOWS\system32\burito59ef-fc2.sys','');
BC_DeleteSvc('Sgu56');
QuarantineFile('C:\WINDOWS\system32\Drivers\Sgu56.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Sgu56.sys');
DeleteFile('C:\WINDOWS\system32\burito59ef-fc2.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантн согласно приложения 3 правил ....
повторите логи ...
Junior Member
Вес репутации
59
Вложения
пофиксите...
Код:
R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - (no file)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Kaizoku\Application Data\Mozilla\Firefox\Profiles\j6ogkcq7.default\extensions\firebit@firebit\components\firebit.dll','');
DeleteFile('C:\Documents and Settings\Kaizoku\Application Data\Mozilla\Firefox\Profiles\j6ogkcq7.default\extensions\firebit@firebit\components\firebit.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи начиная с пункта 10 правил ...
Junior Member
Вес репутации
59
Вложения
Восстановление системы: включено \ отключить ...
выполните скрипт ....
Код:
begin
BC_DeleteSvc('Sgu56');
DeleteFile('C:\WINDOWS\System32\Drivers\Sgu56.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
virusinfo_syscheck.zip - повторите ....
Junior Member
Вес репутации
59
Извиняюсь за невнимательность.
вот новый лог.
Вложения
больше не вижу ничего подозрительного ....
какие -то проблемы остались ?
Junior Member
Вес репутации
59
Нет, всё отлично, спасибо огромное =).
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы в будущем подобных зверей не ловить и уменьшить вероятность заражения следует в инете пользоваться акaунтом ограниченного пользователя , браузер :firefox+noscript
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 8 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\kaizoku\\application data\\mozilla\\firefox\\profiles\\j6ogkcq7.default \\extensions\\firebit@firebit\\components\\firebit .dll - not-a-virus:AdWare.Win32.Kitsune.b (DrWEB: Trojan.BitAcc.4) c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.cm (DrWEB: Trojan.DownLoader.35134) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.luo (DrWEB: Trojan.DownLoader.50037)