Показано с 1 по 18 из 18.

svchost рассылает спам (заявка № 26709)

  1. #1
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36

    Exclamation svchost рассылает спам

    Добрый день,
    вот поймал какую то заразу которая рассылает спам с моего компа.
    Антивирусы её не видят.
    Сканировал Нод32, Доктор веб, Панда.
    В процесс эксплорер хорошо видно как по разным адресам идёт SMTP активность.
    Руками убивать процесс приходиться. Правда потом некоторые программы не работают как надо.

    А тут ещё провайдер прислал письмо с сообщением что с моего АйПи адреса идёт рассылка спама.

    Короче спасите.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('WinRing0_1_0_1');
     QuarantineFile('C:\WINXP\system32\dhcpsapi32.dll','');
     QuarantineFile('C:\Dokumente und Einstellungen\Vate\Desktop\setfsb20b19j\WinRing0.sys','');
     DeleteFile('C:\Dokumente und Einstellungen\Vate\Desktop\setfsb20b19j\WinRing0.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36
    Всё выполнил, комп почистил.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    В логах чисто. Нужно установить Сервис Пак 3. Какие проблемы остались?

  6. #5
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36
    Ни чего не изменилось.
    При новом старте идёт активность по соединению с инетом.
    Процесс эксплорер показывает что svchost устанавливает соединения по SMTP с кучей адресов.


    Ps. Карантин я вам ещё вчера выслал.

    Попробую поставить СП3.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    В карантине файл чистый, СП3 ставить пока не надо. Запустите msconfig, отключите все автозапуски и не-виндовс - службы, перегрузитесь. Будет ли svchost проявлять свою активность? Сделайте логи в этом состоянии ПК.

  8. #7
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    В карантине файл чистый, СП3 ставить пока не надо. Запустите msconfig, отключите все автозапуски и не-виндовс - службы, перегрузитесь. Будет ли svchost проявлять свою активность? Сделайте логи в этом состоянии ПК.
    отключил всё в автозапуске и все не виндовс службы.
    Перезагрузился.
    Зараза осталась.
    Сделал логи и снял скриншот.
    Изображения Изображения
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    564
    Выполните скрипт:
    Код:
    begin
     QuarantineFile('C:\WINXP\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINXP\system32\drivers\nod32drv.sys','');
     QuarantineFile('C:\WINXP\system32\sfc_os.dll','');
    end.
    Карантин пришлите согласно правилам.
    Загрузите утилиту Gmer
    http://gmer.net/gmer.zip
    Запустите ее, отметьте сканировать только диск С и нажмите Scan. Полученный лог сохраните и приложите сюда.
    anti-malware.ru

  10. #9
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36
    Карантин выслал.
    лог приложил.
    Вложения Вложения
    • Тип файла: log gmer.log (49.9 Кб, 4 просмотров)

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    564
    Давайте сделаем так:
    1) Деинсталлируете даемон тул (алкоголь). Деинсталляция - перезагрузка - еще раз перезагрузка. (поскольку драйвер этих утилит является руткитом - он мешает разобраться в ситуации).
    2) Делаете еще раз лог утилитой Gmer.
    3) Загружаете эту утилиту:
    http://rootrepeal.googlepages.com/RootRepeal_1.0.2.rar
    Запускаете ее, открываете вкладку Report,нажимаете Scan, делаете 3 отметки (драйвера, файлы, процессы), ОК, отмечаете диск C.После того, как утилита отработает нажимаете save report. Сохраняете лог и так же прикрепляете к теме, как и лог Gmer.
    4) Выполняете еще раз логи AVZ.
    После выполнения всех этих действий ситуация с рассылкой спама должна прояснится.
    anti-malware.ru

  12. #11
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36
    Поудалял все что можно. пару раз перезагрузился.
    Сделал логи.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Не удалили sptd.sys
    Попробуйте вот этим:
    http://www.duplexsecure.com/./downlo...t-v156-x86.exe
    нажать на Uninstall.

    или таким скриптом в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINXP\System32\Drivers\sptd.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('sptd');
    BC_Activate;
    RebootWindows(true);
    end.
    Потом сделайте все логи снова.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36
    Удалил sptd.sys. Перезагрузился.
    Сделал логи.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Оказалось - что Вы наверно зря все это делали - по той причине, что файл в карантине не чист: C:\WINXP\system32\dhcpsapi32.dll - Trojan.Win32.Pakes.juw

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINXP\system32\dhcpsapi32.dll','');
     DeleteFile('C:\WINXP\system32\dhcpsapi32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте 3 лога по правилам.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    564
    Проблема со спамом продолжается?

    Добавлено через 1 минуту

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    В карантине файл чистый...
    Ага, меня пидманули

    Добавлено через 2 минуты

    Цитата Сообщение от kps Посмотреть сообщение
    файл в карантине не чист: C:\WINXP\system32\dhcpsapi32.dll - Trojan.Win32.Pakes.juw
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    В карантине файл чистый...
    Ага, меня пидманули
    Последний раз редактировалось vaber; 19.07.2008 в 23:47. Причина: Добавлено
    anti-malware.ru

  17. #16
    Junior Member Репутация
    Регистрация
    18.07.2008
    Сообщений
    8
    Вес репутации
    36
    Спасибо огромное вам ребята!
    Молодцы.
    Хотя честно скажу уже достал дистрибутив виндузы и начал сейвить свои данные.

    Одно только не понятно как я смог поймать эту заразу и почему антивирусы и утилиты по удалению молчали?
    Есть ли какой нибудь способ обезопасит себя от подобной заразы?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Новые логи после скрипта покажите, посмотрим - все ли теперь в порядке.
    100%-ой защиты нет, но есть кое-какие методы - почитайте электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\winxp\\system32\\dhcpsapi32.dll - Trojan.Win32.Pakes.juw


  • Уважаемый(ая) wais, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost рассылает спам
      От tseytnot в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.02.2010, 17:30
    2. Svchost рассылает спам
      От driverx в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.08.2009, 19:46
    3. Ответов: 9
      Последнее сообщение: 06.03.2009, 00:16
    4. svchost рассылает спам
      От Andrea в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:15
    5. svchost сошел с ума и рассылает спам!!!
      От localhosts в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.09.2008, 16:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01131 seconds with 17 queries