СПАМ от имени моего IP, как победить?

**Берендей** · 18.08.2008, 22:14

Извините за глупый вопрос....
Комп с операционкой Виндос ХР.
Было три блокировки от провайдера за рассылку спама.
Стоит Антивирус Касперского 7.0, базы актуальны. Настроен по максимуму.
Поставил на днях Фаервол про 2009 (пробную). Базы актуальны. Настроил по максимуму, как мог, чтобы в интернет хотя бы выйти))
Могу ли я пройти все процедуры лечения, связанные со скачиванием Доктора Веба и т.д, как указано на сайте?

История лечения.
Каспер нашел порядка 23 вирусов, большинство трояны в Системе 32
Фаервол нашел после каспера еще 12 троянов там же, но проблема думаю не решена. Постоянно наблюдаются какие то попытки внедрения со стороны в работу каспера и прочая непонятка.
Попробовал добавить в фаерволе по адресу брандмауэр - детектор атак - дополнительно - порты - малвэйр порты "25" порт, в надежде, что спам не будет рассылаться.
Еще раз звините, если некорректно спросил, я юзер, слабо понимаю в "железе", но под диктовку думаю справлюсь.
Александр.

П.С. Вот сейчас напрмер отправлено с компа 11767 байт а принято 21385, причем несколько минут назад картина была явно в пользу принятых (7000 байт против 5000 отправленных)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 18.08.2008, 22:19

http://virusinfo.info/showthread.php?t=1235

**Берендей** · 18.08.2008, 22:31

Я бы с удовольствием и прямо сейчас, но кошельков у меня нет, а карту надо еще купить. А что за Эврика?

**drongo** · 18.08.2008, 22:39

это подпись после черты

вам сначала нужно логи сделать. нажать на следующий линк: http://virusinfo.info/showthread.php?t=1235

эврика -специальная версия avz, когда обычная не заводиться.

**Берендей** · 19.08.2008, 08:56

Пробую....

**pig** · 19.08.2008, 16:51

Что-что вы запускали? Я не понял...

**Берендей** · 20.08.2008, 00:57

Извиняюсь, стормозил, перегрелся мозг за день. Пробую сейчас запустить ДВеб

moderated:::логи нужно прикреплять к сообщениям

Прилагаю логи от AVZ:
Если что не так сделал и не то послал, заранее приношу извинения. Буду с нетерпением ждать вашего ответа.
Александр.

**Rene-gad** · 20.08.2008, 11:10

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Shedule', 4);
 DeleteService('ALGRDSessMgr');
 DeleteService('Sag74');
 DelBHO('{947762D4-8B49-463F-A85A-E18909001C55}');
 QuarantineFile('C:\WINDOWS\System32\1028r.exe','');
 QuarantineFile('C:\WINDOWS\System32\certcl.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Sag74.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Sag74.sys');
 DeleteFile('C:\WINDOWS\System32\certcl.dll');
 DeleteFile('C:\WINDOWS\System32\1028r.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ALGRDSessMgr');
BC_DeleteSvc('Sag74');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**Берендей** · 20.08.2008, 20:05

Я в он-лайне

**Берендей** · 20.08.2008, 21:41

Повторно отправляю вам логи с AVZ и hijackthiz. Карантин тоже отправлен.
Спасибо за помощь, жду дальнейших указаний.
P.S. А восстановление системы надо активировать обратно?

**V_Bond** · 20.08.2008, 23:15

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\winmds.exe','');
 QuarantineFile('C:\WINDOWS\System32\svcnet.exe','');
 DeleteFile('C:\WINDOWS\System32\winmds.exe');
 DeleteFile('C:\WINDOWS\System32\svcnet.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин соглано приложения 3 правил ...
удалите задания в планировщике .... там видимо только одно ваше
повторите логи ...

**Берендей** · 21.08.2008, 10:06

Присылаю очередные логи на рассмотрение. Карантин отправлен. Задания в планировщике мной удалены.

**V_Bond** · 21.08.2008, 10:55

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('CryptSvcLmHosts');
 QuarantineFile('C:\WINDOWS\System32\acluid.exe','');
 DeleteFile('C:\WINDOWS\System32\acluid.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

**Берендей** · 21.08.2008, 11:47

Посылаю карантин и логи на рассмотрение. Жду дальнейших указаний.

**Rene-gad** · 21.08.2008, 13:16

-Пофиксите

Код:

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Больше ничего подозрительного.
Установите Сервис Пак 3.
Обновите Джаву.
Обновите версию Антивируса.

**Берендей** · 21.08.2008, 23:24

Всё сделал как сказали, пофиксил, хотя вышло как то коряво, правда я и не знаю, как это происходить должно, всплывали какие то вопросы.
Качаю СП3, тяжеленный - 652 Мб, с адреса http://www.maxset.net/soft/7740-wind...lenija-po.html. Как считаете, нормальный?
Джаву скачал.
Обновить антивирус? Касперского? Стоит 7.0, Какой поставить? Откуда?)) Стоит ли он установки?
У меня ещё стоит пробный Фаервол 2009, лн мне нужен в дальнейшем, или что-нибудь другое посоветуете?
Тот же DrWeb что-то нашел после Каспера и Файрвола.
А вообще я ничего в этом не смыслю, на ваш совет надеюсь.

Немного смущает, что при просмотре "Состояния подключения" количество отправленных файлов превышает количество полученных примерно в 50 раз. Это шлется опять СПАМ?

Как узнать, рассылаю ли я жальше СПАМ или теперь нет?

В любом случае, огромное спасибо за помощь, в ближайшее время поддержу ваш VirusInfo )))

**V_Bond** · 21.08.2008, 23:34

сделайте еще раз логи ....

**Берендей** · 22.08.2008, 08:50

Высылаю логи.... Карантин...
Кстати говоря, у меня Каспер в свое время тыкал на процесс SVCHOST.EXE, сейчас в файерволе их штук семь работает, да и еще появился новый процесс SPOOLSV.EXE, это что-то значит? Сервис пак пока не запускал,только скачал.

**Rene-gad** · 22.08.2008, 10:43

Сообщение от Берендей

Качаю СП3, тяжеленный - 652 Мб, с адреса http://www.maxset.net/soft/7740-wind...lenija-po.html.

Вы качаете очевидно ISO file для изготовления компактдиска. Нормальный СП3 на сайте Микрософта (Сетап) весит ровно половину. Ссылка есть даже в моей подписи.

Немного смущает, что при просмотре "Состояния подключения" количество отправленных файлов превышает количество полученных примерно в 50 раз. Это шлется опять СПАМ?

В логах ничего подозрительного.

**Берендей** · 22.08.2008, 19:47

Извините за назойливость, не знаю, у меня лицензионный продукт или нет, так как комп "приплыл" ко мне с женой, она архитектор, в графических программах работает. Установил СервисПак3, а он просит активировать Виндос через интернет например. Если стоит пиратка, что произойдет?