Показано с 1 по 14 из 14.

Идет рассылка почты (заявка № 22505)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    62

    Question Идет рассылка почты

    Идет рассылка почты. Помогите вылечить.
    Последний раз редактировалось gss1234; 06.05.2008 в 14:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\basecho32.dll','');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    затем еще один ....
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    62
    Карантин выслал, логи будут по готовности.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    winlogon.exe-свежий
    basecho32.dll-Trojan.Win32.SubSys.dj

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    62

    Не помогло

    Не помогло, высылаю новые логи.
    Последний раз редактировалось gss1234; 28.05.2008 в 15:23.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Восстановление системы: включено / отключить ...
    в логах ничего зловредного ....
    кроме...
    Код:
      
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    нужно установить сп2 и целую кучу обновлений ...
    пункт 2 правил выполнялся ?

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    62
    CureIt выполнялся. Рассылка с этого компьютера продолжает идти.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от gss1234 Посмотреть сообщение
    Рассылка с этого компьютера продолжает идти.
    как вы это определяете ... ?

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    62
    На шлюзе запрещена исходящая почта, кроме как со своего сервера. Все попытки выхода на 25 порт фиксируются. С IP этого компьютера видна большая активность, порядка 30 одновременно.
    Кстати, ещё на одном появилась такая же ерунда. Но сегодня руки не дойдут.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    нужно бы поставить фаервол ... посмотреть кто пытается выйти ...

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Скачайте эту утиль и запустите проверку - лог прикрепите сюда.
    http://www2.gmer.net/beta/gmer.exe
    anti-malware.ru

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    62
    У меня стоит Lan2Net. Он это и показывает.

    Добавлено через 3 минуты

    Цитата Сообщение от vaber Посмотреть сообщение
    Скачайте эту утиль и запустите проверку - лог прикрепите сюда.
    http://www2.gmer.net/beta/gmer.exe


    Пользователь ушел домой. Смогу сделать только завтра.
    Последний раз редактировалось gss1234; 06.05.2008 в 17:29. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Lan2Net - стоит на шлюзе ... и там не видно что за приложение активничает ...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от gss1234
    CureIt выполнялся.
    Когда он был скачен?

  • Уважаемый(ая) gss1234, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Идет массовая рассылка спама
      От Prostll в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.11.2010, 23:17
    2. Идет рассылка спама(((
      От alexwizards в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.02.2010, 15:57
    3. Идет рассылка с компьютера
      От mongol89 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 09:42
    4. Идет рассылка вирусов на 25 порт.
      От haver в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2008, 23:07
    5. Идет рассылка почты
      От uniken1 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.03.2008, 14:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00479 seconds with 19 queries