-
Junior Member
- Вес репутации
- 59
services.exe ccApp.exe рассылка спама
Привет! services.exe постоянно соединён с 75.126.142.100:7777 (данные Sygate Personal Firewall). Время от времени ccApp.exe запрашивает доступ по 25 порту(да и services.exe это иногда делает) и идёт рассылка спама. Проверка касперским 7, NOD 32 3, SAV CE 10, Ad-Aware 2007 ничего не дала. Буду очень рад, если кто-нибудь поможет, потому как не чувствую желания быть спамером, можно конечно просто фаерволлом закрыть, но это решение последствий, а не причины...
Последний раз редактировалось bakuryu; 05.11.2009 в 04:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите ...
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Dowloads\BitComet_0.81\tools\BitCometBHO.dll (file missing)
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3FDE0CB5-619F-4227-8961-F2D7ED15B88E}');
QuarantineFile('C:\PROGRA~1\CRAMTO~1\untitled.dll','');
DeleteFile('C:\PROGRA~1\CRAMTO~1\untitled.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи....
-
-
Junior Member
- Вес репутации
- 59
Пофиксил, выполнил. Карантин отправил. Спам вроде бы не отправляется, но я не уверен в том, что это не временно и после чего это прекратилось (раньше бывало, что временно прекращалось) потому что services.exe всё ещё подключён по 7777 порту к тому же IP.
Последний раз редактировалось bakuryu; 05.11.2009 в 04:26.
-
выполните скрипт ...
Код:
begin
QuarantineFile('C:\WINDOWS\system32\nl_msgs.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 59
-
файл чистый .... больше не видно ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 59
Ну хоть спама терь не будет(вроде бы окончательно перестал отсылаться) =) Спасибо!
-
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
Junior Member
- Вес репутации
- 59
Хмм.. а я таки нашёл как убить эту гадость, запустил я Filemon, который от Sysinternals и оказалось, что services.exe постоянно читает какие-то файлы из папки C:\WINDOWS\Temp\settings и эта папка была создана 21 числа, когда у меня и начались проблемы, удалил это дело нафиг и всё прекратилось, правда там куча каких-то файлов была, не знаю, может сам источник я не удалил, но теперь оно не ломится по 7777 порту чёрти куда (даже после ребута) Отправляю вам эти файлы. Вряд ли там вирус конечно, но мало ли.
P.S. Так же по логам ICQ, логам закачек и т.д. было установлено, что как раз примерно во время создания папки (4.16) мной могли быть запущены только 2 файла, правда я их удалил, но постараюсь восстановить, получится - отправлю... конечно если вы не против...
Добавлено через 9 часов 45 минут
Мда.. недолго музыка играла... за ночь опять началось =( папка settings не удаляется, а если из safe mode, то потом появляется вновь.
Последний раз редактировалось bakuryu; 23.03.2008 в 14:50.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 59
Во время выполнения пункта 8 спам активно рассылается, далее я перезагружаю компьютер и перехожу к пункуту 10 но во время этого спам уже не рассылается, только ccApp.exe и services.exe вяловато стучатся в интернет. Однако судя по моему опыту, со временем они опять проснутся...
Сделал логи заново.
Последний раз редактировалось bakuryu; 05.11.2009 в 04:27.
-
Junior Member
- Вес репутации
- 59
На счёт двух файлов, которые я открывал, восстановить не удалось, а там где качал (eDonkey) почему-то уже не ищется по тем же запросам, вот теперь действительно выдаёт то, что мне нужно было(плеер seismovision), когда искал, хотя там подозрительно много источников, так что может тоже как-то в результаты поиска подсунуто, могу отослать то, что сейчас находится. Спам, погодя 5 - 10 мин. от ребута после проверки AVZ опять рассылается.
-
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe','');
QuarantineFile('C:\WINDOWS\Installer\2f9d915.msi','');
QuarantineFile('I:\files\1\PSC2.071\winio.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\drpkiont.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aea7k05a.SYS','');
QuarantineFile('D:\SOFT\RnQ1100\plugins\hfs.dll','');
QuarantineFile('D:\SOFT\RnQ1100\HistoryLib.DLL','');
BC_ImportQuarantineList;
BC_QrSvc('WINIO');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20285 ).
-
-
И ещё вопрос в планировщике задач это C:\Documents and Settings\Администратор\Рабочий стол\temp\ComSet.bat - известно? И вообще там 4 задания, они сделаны вами?
-
Junior Member
- Вес репутации
- 59
2 kps
Скрипт выполнил, карантин отправил. Кстати, после отправки из карантина можно удалять всё, чтобы следующий раз прошлые файлы не отсылать?
ICON_SetupPalm.exe и 2f9d915.msi - это от Lingvo, насколько мне известно.
hfs.dll - http сервер, мой.
HistoryLib.DLL - от ICQ-клиента.
-
- еще вопрос вы в игрушки играете ... ?
-
-
Junior Member
- Вес репутации
- 59
2 wise-wistful
ComSet.bat, BUSoftCfg.bat, copyXSS.bat - сам писал, там всё нормально, четвёртого что-то пока не вижу, скажите имя файла.
Добавлено через 2 минуты
2 V_Bond
Да, бывает играю. Собственно seismovision я качал потому, что хотелось найти плеер для demo-роликов UT 2004.
Последний раз редактировалось bakuryu; 23.03.2008 в 20:46.
Причина: Добавлено
-
7777 порт используется в основном сетевыми играми ...
-
-
Перечень из планировщика:
C:\Documents and Settings\Администратор\Рабочий стол\temp\ComSet.bat
F:\Downloads\Архивы\eMule0.47a\eMule0.47a\emule.ex e
G:\Архивы\Мультимедиа\Музыка\SOAD\SOAD - Toxicity.mp3
G:\Архивы\Мультимедиа\Музыка\Samael\Samael - Reign Of Light.mp3
-
Junior Member
- Вес репутации
- 59
Да, но у меня ни одна из них не запущена... ммм..? Да и сервер мне неизвестен.
Добавлено через 46 секунд
2 wise-wistful
Да, это тоже моя работа =).
Последний раз редактировалось bakuryu; 23.03.2008 в 20:52.
Причина: Добавлено