Junior Member
Вес репутации
58
Спам бот и даунлоадер
Недавно началась массовая рассылка спама с одного из компьютеров. Постоянно тонны SMTP соединений. А так же очень сильно расходует трафик. НОД не детектит, подозрения на несколько файлов : clusap.dll, msthreat.sys, server.exe
Ставил КИСу, да блокирует фаерволлом все, но не лечит, хотя тоже видит угрозы. После перезагрузки все повторяется.
Погите плз..!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\txp3.cpl','');
QuarantineFile('C:\WINDOWS\system32\O2CPLA~1.OCX','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\RACtrl.dll','');
QuarantineFile('C:\WINDOWS\system32\fppmon3.dll','');
QuarantineFile('C:\Program Files\think3\rel8\common\extractimage.dll','');
QuarantineFile('px86emul.dll','');
QuarantineFile('WinCtrl.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\NiViPxiK.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\NiViPciK.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\NiViFWK.sys','');
QuarantineFile('C:\DOCUME~1\Mihail\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\nipxirmk.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SAA7146.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pdr44rayc.sys','');
QuarantineFile('Pdr44rayc.sys','');
QuarantineFile('C:\WINDOWS\system32\nipalsm.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\msthreat.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\bocaxdzd.dat','');
QuarantineFile('C:\WINDOWS\system32\rserver30\FamItrfc.Exe','');
QuarantineFile('C:\WINDOWS\system32\clusap.dll','');
QuarantineFile('C:\WINDOWS\system32\msthreat.dll','');
QuarantineFile('C:\WINDOWS\system32\BBPDFPortMon.dll','');
QuarantineFile('c:\windows\system32\server.exe','');
DeleteFile('C:\WINDOWS\system32\clusap.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\msthreat.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\bocaxdzd.dat');
DeleteFile('C:\DOCUME~1\Mihail\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl.dll');
DeleteFile('C:\WINDOWS\system32\px86emul.dll');
DeleteFile('C:\WINDOWS\system32\server.exe');
DeleteFile('C:\WINDOWS\system32\msthreat.dll');
DelWinlogonNotifyByKeyName('WinCtrl');
DelWinlogonNotifyByKeyName('px86emul');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('msthreat');
BC_DeleteSvc('warmkqsr');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25712 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 65 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\bocaxdzd.dat - Rootkit.Win32.Agent.aap (DrWEB: Trojan.NtRootKit.73 c:\\windows\\system32\\drivers\\msthreat.sys - Trojan-Downloader.Win32.Agent.usf (DrWEB: BackDoor.Bulknet.255) c:\\windows\\system32\\msthreat.dll - Trojan-Proxy.Win32.Agent.aqv (DrWEB: Trojan.Gross) c:\\windows\\system32\\server.exe - Backdoor.Win32.Agent.ldi (DrWEB: BackDoor.Bulknet.183) c:\\windows\\system32\\winctrl.dll - Trojan-Downloader.Win32.Mutant.aiy (DrWEB: BackDoor.Bulknet.222)