Добрый день,
вот поймал какую то заразу которая рассылает спам с моего компа.
Антивирусы её не видят.
Сканировал Нод32, Доктор веб, Панда.
В процесс эксплорер хорошо видно как по разным адресам идёт SMTP активность.
Руками убивать процесс приходиться. Правда потом некоторые программы не работают как надо.
А тут ещё провайдер прислал письмо с сообщением что с моего АйПи адреса идёт рассылка спама.
Короче спасите.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WinRing0_1_0_1');
QuarantineFile('C:\WINXP\system32\dhcpsapi32.dll','');
QuarantineFile('C:\Dokumente und Einstellungen\Vate\Desktop\setfsb20b19j\WinRing0.sys','');
DeleteFile('C:\Dokumente und Einstellungen\Vate\Desktop\setfsb20b19j\WinRing0.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Ни чего не изменилось.
При новом старте идёт активность по соединению с инетом.
Процесс эксплорер показывает что svchost устанавливает соединения по SMTP с кучей адресов.
В карантине файл чистый, СП3 ставить пока не надо. Запустите msconfig, отключите все автозапуски и не-виндовс - службы, перегрузитесь. Будет ли svchost проявлять свою активность? Сделайте логи в этом состоянии ПК.
В карантине файл чистый, СП3 ставить пока не надо. Запустите msconfig, отключите все автозапуски и не-виндовс - службы, перегрузитесь. Будет ли svchost проявлять свою активность? Сделайте логи в этом состоянии ПК.
отключил всё в автозапуске и все не виндовс службы.
Перезагрузился.
Зараза осталась.
Сделал логи и снял скриншот.
begin
QuarantineFile('C:\WINXP\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINXP\system32\drivers\nod32drv.sys','');
QuarantineFile('C:\WINXP\system32\sfc_os.dll','');
end.
Карантин пришлите согласно правилам.
Загрузите утилиту Gmer http://gmer.net/gmer.zip
Запустите ее, отметьте сканировать только диск С и нажмите Scan. Полученный лог сохраните и приложите сюда.
Давайте сделаем так:
1) Деинсталлируете даемон тул (алкоголь). Деинсталляция - перезагрузка - еще раз перезагрузка. (поскольку драйвер этих утилит является руткитом - он мешает разобраться в ситуации).
2) Делаете еще раз лог утилитой Gmer.
3) Загружаете эту утилиту: http://rootrepeal.googlepages.com/RootRepeal_1.0.2.rar
Запускаете ее, открываете вкладку Report,нажимаете Scan, делаете 3 отметки (драйвера, файлы, процессы), ОК, отмечаете диск C.После того, как утилита отработает нажимаете save report. Сохраняете лог и так же прикрепляете к теме, как и лог Gmer.
4) Выполняете еще раз логи AVZ.
После выполнения всех этих действий ситуация с рассылкой спама должна прояснится.
Оказалось - что Вы наверно зря все это делали - по той причине, что файл в карантине не чист: C:\WINXP\system32\dhcpsapi32.dll - Trojan.Win32.Pakes.juw
Спасибо огромное вам ребята!
Молодцы.
Хотя честно скажу уже достал дистрибутив виндузы и начал сейвить свои данные.
Одно только не понятно как я смог поймать эту заразу и почему антивирусы и утилиты по удалению молчали?
Есть ли какой нибудь способ обезопасит себя от подобной заразы?
Новые логи после скрипта покажите, посмотрим - все ли теперь в порядке.
100%-ой защиты нет, но есть кое-какие методы - почитайте электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: