Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 43.

services.exe ccApp.exe рассылка спама (заявка № 20285)

  1. #1
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36

    Thumbs up services.exe ccApp.exe рассылка спама

    Привет! services.exe постоянно соединён с 75.126.142.100:7777 (данные Sygate Personal Firewall). Время от времени ccApp.exe запрашивает доступ по 25 порту(да и services.exe это иногда делает) и идёт рассылка спама. Проверка касперским 7, NOD 32 3, SAV CE 10, Ad-Aware 2007 ничего не дала. Буду очень рад, если кто-нибудь поможет, потому как не чувствую желания быть спамером, можно конечно просто фаерволлом закрыть, но это решение последствий, а не причины...
    Последний раз редактировалось bakuryu; 05.11.2009 в 04:26.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Dowloads\BitComet_0.81\tools\BitCometBHO.dll (file missing)
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{3FDE0CB5-619F-4227-8961-F2D7ED15B88E}');
     QuarantineFile('C:\PROGRA~1\CRAMTO~1\untitled.dll','');
     DeleteFile('C:\PROGRA~1\CRAMTO~1\untitled.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи....

  4. #3
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    Пофиксил, выполнил. Карантин отправил. Спам вроде бы не отправляется, но я не уверен в том, что это не временно и после чего это прекратилось (раньше бывало, что временно прекращалось) потому что services.exe всё ещё подключён по 7777 порту к тому же IP.
    Последний раз редактировалось bakuryu; 05.11.2009 в 04:26.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\nl_msgs.dll','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    Отослал.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    файл чистый .... больше не видно ничего подозрительного ...

  8. #7
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    Ну хоть спама терь не будет(вроде бы окончательно перестал отсылаться) =) Спасибо!

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  10. #9
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    Хмм.. а я таки нашёл как убить эту гадость, запустил я Filemon, который от Sysinternals и оказалось, что services.exe постоянно читает какие-то файлы из папки C:\WINDOWS\Temp\settings и эта папка была создана 21 числа, когда у меня и начались проблемы, удалил это дело нафиг и всё прекратилось, правда там куча каких-то файлов была, не знаю, может сам источник я не удалил, но теперь оно не ломится по 7777 порту чёрти куда (даже после ребута) Отправляю вам эти файлы. Вряд ли там вирус конечно, но мало ли.
    P.S. Так же по логам ICQ, логам закачек и т.д. было установлено, что как раз примерно во время создания папки (4.16) мной могли быть запущены только 2 файла, правда я их удалил, но постараюсь восстановить, получится - отправлю... конечно если вы не против...

    Добавлено через 9 часов 45 минут

    Мда.. недолго музыка играла... за ночь опять началось =( папка settings не удаляется, а если из safe mode, то потом появляется вновь.
    Последний раз редактировалось bakuryu; 23.03.2008 в 14:50. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    Во время выполнения пункта 8 спам активно рассылается, далее я перезагружаю компьютер и перехожу к пункуту 10 но во время этого спам уже не рассылается, только ccApp.exe и services.exe вяловато стучатся в интернет. Однако судя по моему опыту, со временем они опять проснутся...
    Сделал логи заново.
    Последний раз редактировалось bakuryu; 05.11.2009 в 04:27.

  13. #12
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    На счёт двух файлов, которые я открывал, восстановить не удалось, а там где качал (eDonkey) почему-то уже не ищется по тем же запросам, вот теперь действительно выдаёт то, что мне нужно было(плеер seismovision), когда искал, хотя там подозрительно много источников, так что может тоже как-то в результаты поиска подсунуто, могу отослать то, что сейчас находится. Спам, погодя 5 - 10 мин. от ребута после проверки AVZ опять рассылается.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    QuarantineFile('C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe','');
    QuarantineFile('C:\WINDOWS\Installer\2f9d915.msi','');
    QuarantineFile('I:\files\1\PSC2.071\winio.sys','');
    QuarantineFile('C:\WINDOWS\System32\drivers\drpkiont.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\aea7k05a.SYS','');
    QuarantineFile('D:\SOFT\RnQ1100\plugins\hfs.dll','');
    QuarantineFile('D:\SOFT\RnQ1100\HistoryLib.DLL','');
    BC_ImportQuarantineList;
    BC_QrSvc('WINIO');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20285 ).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    И ещё вопрос в планировщике задач это C:\Documents and Settings\Администратор\Рабочий стол\temp\ComSet.bat - известно? И вообще там 4 задания, они сделаны вами?

  16. #15
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    2 kps
    Скрипт выполнил, карантин отправил. Кстати, после отправки из карантина можно удалять всё, чтобы следующий раз прошлые файлы не отсылать?
    ICON_SetupPalm.exe и 2f9d915.msi - это от Lingvo, насколько мне известно.
    hfs.dll - http сервер, мой.
    HistoryLib.DLL - от ICQ-клиента.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    - еще вопрос вы в игрушки играете ... ?

  18. #17
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    2 wise-wistful
    ComSet.bat, BUSoftCfg.bat, copyXSS.bat - сам писал, там всё нормально, четвёртого что-то пока не вижу, скажите имя файла.

    Добавлено через 2 минуты

    2 V_Bond
    Да, бывает играю. Собственно seismovision я качал потому, что хотелось найти плеер для demo-роликов UT 2004.
    Последний раз редактировалось bakuryu; 23.03.2008 в 20:46. Причина: Добавлено

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    7777 порт используется в основном сетевыми играми ...

  20. #19
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Перечень из планировщика:
    C:\Documents and Settings\Администратор\Рабочий стол\temp\ComSet.bat
    F:\Downloads\Архивы\eMule0.47a\eMule0.47a\emule.ex e
    G:\Архивы\Мультимедиа\Музыка\SOAD\SOAD - Toxicity.mp3
    G:\Архивы\Мультимедиа\Музыка\Samael\Samael - Reign Of Light.mp3

  21. #20
    Junior Member Репутация
    Регистрация
    22.03.2008
    Сообщений
    43
    Вес репутации
    36
    Да, но у меня ни одна из них не запущена... ммм..? Да и сервер мне неизвестен.

    Добавлено через 46 секунд

    2 wise-wistful
    Да, это тоже моя работа =).
    Последний раз редактировалось bakuryu; 23.03.2008 в 20:52. Причина: Добавлено

  • Уважаемый(ая) bakuryu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Рассылка спама
      От adawa в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.04.2011, 14:02
    2. Рассылка спама. services.exe
      От MatveevMY в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.10.2010, 12:59
    3. рассылка спама
      От YaSam в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:56
    4. Рассылка спама
      От Andrew632 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 02:35
    5. Рассылка спама
      От Stewart little в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.08.2008, 18:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00112 seconds with 16 queries