services.exe ccApp.exe рассылка спама

[bakuryu]

Привет! services.exe постоянно соединён с 75.126.142.100:7777 (данные Sygate Personal Firewall). Время от времени ccApp.exe запрашивает доступ по 25 порту(да и services.exe это иногда делает) и идёт рассылка спама. Проверка касперским 7, NOD 32 3, SAV CE 10, Ad-Aware 2007 ничего не дала. Буду очень рад, если кто-нибудь поможет, потому как не чувствую желания быть спамером, можно конечно просто фаерволлом закрыть, но это решение последствий, а не причины...

[V_Bond]

пофиксите ...

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Dowloads\BitComet_0.81\tools\BitCometBHO.dll (file missing)

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{3FDE0CB5-619F-4227-8961-F2D7ED15B88E}');
 QuarantineFile('C:\PROGRA~1\CRAMTO~1\untitled.dll','');
 DeleteFile('C:\PROGRA~1\CRAMTO~1\untitled.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи....

[bakuryu]

Пофиксил, выполнил. Карантин отправил. Спам вроде бы не отправляется, но я не уверен в том, что это не временно и после чего это прекратилось (раньше бывало, что временно прекращалось) потому что services.exe всё ещё подключён по 7777 порту к тому же IP.

[V_Bond]

выполните скрипт ...

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\nl_msgs.dll','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[bakuryu]

Отослал.

[V_Bond]

файл чистый .... больше не видно ничего подозрительного ...

[bakuryu]

Ну хоть спама терь не будет(вроде бы окончательно перестал отсылаться) =) Спасибо!

[wise-wistful]

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[bakuryu]

Хмм.. а я таки нашёл как убить эту гадость, запустил я Filemon, который от Sysinternals и оказалось, что services.exe постоянно читает какие-то файлы из папки C:\WINDOWS\Temp\settings и эта папка была создана 21 числа, когда у меня и начались проблемы, удалил это дело нафиг и всё прекратилось, правда там куча каких-то файлов была, не знаю, может сам источник я не удалил, но теперь оно не ломится по 7777 порту чёрти куда (даже после ребута) Отправляю вам эти файлы. Вряд ли там вирус конечно, но мало ли.
P.S. Так же по логам ICQ, логам закачек и т.д. было установлено, что как раз примерно во время создания папки (4.16) мной могли быть запущены только 2 файла, правда я их удалил, но постараюсь восстановить, получится - отправлю... конечно если вы не против...

Добавлено через 9 часов 45 минут

Мда.. недолго музыка играла... за ночь опять началось =( папка settings не удаляется, а если из safe mode, то потом появляется вновь.

[kps]

Сделайте новые логи.

[bakuryu]

Во время выполнения пункта 8 спам активно рассылается, далее я перезагружаю компьютер и перехожу к пункуту 10 но во время этого спам уже не рассылается, только ccApp.exe и services.exe вяловато стучатся в интернет. Однако судя по моему опыту, со временем они опять проснутся...
Сделал логи заново.

[bakuryu]

На счёт двух файлов, которые я открывал, восстановить не удалось, а там где качал (eDonkey) почему-то уже не ищется по тем же запросам, вот теперь действительно выдаёт то, что мне нужно было(плеер seismovision), когда искал, хотя там подозрительно много источников, так что может тоже как-то в результаты поиска подсунуто, могу отослать то, что сейчас находится. Спам, погодя 5 - 10 мин. от ребута после проверки AVZ опять рассылается.

[kps]

Выполните скрипт в AVZ:

Код:

begin
QuarantineFile('C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe','');
QuarantineFile('C:\WINDOWS\Installer\2f9d915.msi','');
QuarantineFile('I:\files\1\PSC2.071\winio.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\drpkiont.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aea7k05a.SYS','');
QuarantineFile('D:\SOFT\RnQ1100\plugins\hfs.dll','');
QuarantineFile('D:\SOFT\RnQ1100\HistoryLib.DLL','');
BC_ImportQuarantineList;
BC_QrSvc('WINIO');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20285 ).

[wise-wistful]

И ещё вопрос в планировщике задач это C:\Documents and Settings\Администратор\Рабочий стол\temp\ComSet.bat - известно? И вообще там 4 задания, они сделаны вами?

[bakuryu]

2 kps
Скрипт выполнил, карантин отправил. Кстати, после отправки из карантина можно удалять всё, чтобы следующий раз прошлые файлы не отсылать?
ICON_SetupPalm.exe и 2f9d915.msi - это от Lingvo, насколько мне известно.
hfs.dll - http сервер, мой.
HistoryLib.DLL - от ICQ-клиента.

[V_Bond]

- еще вопрос вы в игрушки играете ... ?

[bakuryu]

2 wise-wistful
ComSet.bat, BUSoftCfg.bat, copyXSS.bat - сам писал, там всё нормально, четвёртого что-то пока не вижу, скажите имя файла.

Добавлено через 2 минуты

2 V_Bond
Да, бывает играю. Собственно seismovision я качал потому, что хотелось найти плеер для demo-роликов UT 2004.

[V_Bond]

7777 порт используется в основном сетевыми играми ...

[wise-wistful]

Перечень из планировщика:

C:\Documents and Settings\Администратор\Рабочий стол\temp\ComSet.bat
F:\Downloads\Архивы\eMule0.47a\eMule0.47a\emule.ex e
G:\Архивы\Мультимедиа\Музыка\SOAD\SOAD - Toxicity.mp3
G:\Архивы\Мультимедиа\Музыка\Samael\Samael - Reign Of Light.mp3

[bakuryu]

Да, но у меня ни одна из них не запущена... ммм..? Да и сервер мне неизвестен.

Добавлено через 46 секунд

2 wise-wistful
Да, это тоже моя работа =).