Показано с 1 по 13 из 13.

Несанкционированная отправка почты (заявка № 22019)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    8
    Вес репутации
    36

    Thumbs up Несанкционированная отправка почты

    Доброго времени суток!
    Проблемы следующие:
    1. Отправка непонятной почты на непонятные адреса.
    2. При загрузке системы появляется диалоговое окно без опазновательных знаков и надписи с единственной кнопкой Ок.
    3. При отключении от интернета постоянный запрос на подключение.
    4. и.т.д и т.п.

    Логи прилагаются. Прошу Вашей помощи. Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Spybot - Search - деинсталировать ..
    віполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{F50B3F5E-856E-4757-9BB1-B35D46CA7719}');
     DelBHO('{2D8690F9-F499-467E-8B98-B427129D76B2}');
     DelBHO('{11C937CA-203D-4DA4-B06C-524C0F3FAAF8}');
     QuarantineFile('C:\WINDOWS\system32\wvUoOIYQ.dll','');
     QuarantineFile('C:\WINDOWS\system32\svch152.dll','');
     QuarantineFile('C:\WINDOWS\system32\lksdjd.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\kavir.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\682D.tmp.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
    BC_DeleteSvc('Xvl11');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Xvl11.sys','');
    BC_DeleteSvc('Whg11');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Whg11.sys','');
    BC_DeleteSvc('Way44');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Way44.sys','');
    BC_DeleteSvc('Uxg55');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Uxg55.sys','');
    BC_DeleteSvc('Uow66');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Uow66.sys','');
    BC_DeleteSvc('Uhw88');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Uhw88.sys','');
    BC_DeleteSvc('Tgv77');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Tgv77.sys','');
    BC_DeleteSvc('Rwf77');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Rwf77.sys','');
    BC_DeleteSvc('Pcb66');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Pcb66.sys','');
    BC_DeleteSvc('ntio922');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ntio922.sys','');
    BC_DeleteSvc('msoft98');
     QuarantineFile('C:\WINDOWS\system32\drivers\msoft98.sys','');
    BC_DeleteSvc('lrito757-6a83');
     QuarantineFile('C:\WINDOWS\system32\lrito757-6a83.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
    BC_DeleteSvc('Lfe33');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lfe33.sys','');
    BC_DeleteSvc('Icr77');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Icr77.sys','');
    BC_DeleteSvc('Ick11');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ick11.sys','');
    BC_DeleteSvc('Ggc55');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ggc55.sys','');
    BC_DeleteSvc('Evu11');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Evu11.sys','');
    BC_DeleteSvc('Eqg00');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Eqg00.sys','');
    BC_DeleteSvc('Dgv33');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Dgv33.sys','');
    BC_DeleteSvc('Chw11');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Chw11.sys','');
    BC_DeleteSvc('Atj88');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Atj88.sys','');
    BC_DeleteSvc('asc3550f');
     QuarantineFile('asc3550f.sys','');
    BC_DeleteSvc('WZCSVCupnphost');
    BC_DeleteSvc('SamSsdmserver');
    BC_DeleteSvc('ProtectedStorage I Service');
    BC_DeleteSvc('Microsoft I Service');
    BC_DeleteSvc('ImapiServiceRasAuto');
    BC_DeleteSvc('Google Online Services');
    BC_DeleteSvc('ClipSrvFastUserSwitchingCompatibility');
     QuarantineFile('C:\WINDOWS\system32\2052m.exe','');
     QuarantineFile('C:\WINDOWS\system32\cbtf522.exe','');
     QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\adsldpi.exe','');
     QuarantineFile('C:\Documents and Settings\Татьяна\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\ALSndMgrk.exe','');
     QuarantineFile('C:\WINDOWS\system32\ddcBTKDt.dll','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('c:\autoex.dll','');
     DeleteFile('c:\autoex.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\ddcBTKDt.dll');
     DeleteFile('C:\WINDOWS\system32\ALSndMgrk.exe');
     DeleteFile('C:\Documents and Settings\Татьяна\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\adsldpi.exe');
     DeleteFile('C:\WINDOWS\system32\_svchost.exe');
     DeleteFile('C:\WINDOWS\system32\cbtf522.exe');
     DeleteFile('C:\WINDOWS\system32\2052m.exe');
     DeleteFile('asc3550f.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Atj88.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Chw11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dgv33.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Eqg00.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Evu11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ggc55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ick11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Icr77.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lfe33.sys');
     DeleteFile('C:\WINDOWS\system32\lrito757-6a83.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\msoft98.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Pcb66.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rwf77.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tgv77.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Uhw88.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Uow66.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Uxg55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Way44.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Whg11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xvl11.sys');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('C:\WINDOWS\TEMP\682D.tmp.exe');
     DeleteFile('C:\WINDOWS\kavir.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\system32\lksdjd.dll');
     DeleteFile('C:\WINDOWS\system32\svch152.dll');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('ddcBTKDt.dll');
     DeleteFile('C:\WINDOWS\system32\wvUoOIYQ.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторте логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    8
    Вес репутации
    36
    Spybot деинсталировал, скрипт выполнил, карантин выслал, логи повторил.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O2 - BHO: Google Module - {531BE052-76FC-4b05-9CCD-AF6AA265113C} - strike12.dll (file missing)
    O2 - BHO: (no name) - {AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B} - (no file)
    O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - (no file)
    O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\ddcBTKDt.dll (file missing)
    O20 - AppInit_DLLs: ??????????
    O20 - Winlogon Notify: ddcBTKDt - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    выполните скрипт...
    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\AntispamSniper for Outlook Express\SniperInstoe.exe','');
     QuarantineFile('c:\program files\antispamsniper for outlook express\OEH.dll','');
     DelBHO('{F50B3F5E-856E-4757-9BB1-B35D46CA7719}');
     DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
     DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}');
     DelBHO('{531BE052-76FC-4b05-9CCD-AF6AA265113C}');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\ansil.exe','');
    BC_ImportallDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    8
    Вес репутации
    36
    Указанные записи пофиксил.
    А вот при выполнении скрипта выдает ошибку:
    "Undeclared indentifier 'BC_ImportallDeletedList;' в позиции 13:24"

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Замените в скрипте BC_ImportallDeletedList; на BC_ImportALL; (именно с точкой с запятой в конце). И попробуйте выполнить.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    8
    Вес репутации
    36
    Заменил. Скрипт выполнился.
    Карантин отправил. Жду дальнейших указаний.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\WINDOWS\system32\ansil.exe Trojan.Wim32.Pakes.csu
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\ansil.exe ');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    8
    Вес репутации
    36
    Скрипт выполнил. Вот новые логи.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего подозрительного ...
    какие- то проблемы остались ?

  12. #11
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    8
    Вес репутации
    36
    Все работает адекватно. Огромное спасибо.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\adsldpi.exe - Trojan.Win32.Pakes.csu (DrWEB: BackDoor.IRC.Nite)
      2. c:\\windows\\system32\\alsndmgrk.exe - Trojan.Win32.Inject.bdf (DrWEB: BackDoor.IRC.Nite)
      3. c:\\windows\\system32\\ansil.exe - Trojan.Win32.Pakes.csu (DrWEB: BackDoor.IRC.Nite)
      4. c:\\windows\\system32\\ddcbtkdt.dll - not-a-virus:AdWare.Win32.Virtumonde.qpf (DrWEB: Trojan.Virtumod.based)
      5. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.nm (DrWEB: Trojan.DownLoader.59094)
      6. c:\\windows\\system32\\2052m.exe - Trojan.Win32.Inject.bdf (DrWEB: BackDoor.IRC.Nite)


  • Уважаемый(ая) Navigatorov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. несанкционированная закачка
      От andrejjj в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 10.09.2010, 16:24
    2. Несанкционированная сетевая активность
      От StrangerIV в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.04.2010, 12:30
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 02:21
    4. несанкционированная рассылка спама
      От ELINC7 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.09.2008, 12:27
    5. Несанкционированная почтовая рассылка
      От yatcik в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.07.2008, 14:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00143 seconds with 17 queries