Trojan.Spambot.3432

**aqua** · 26.08.2008, 14:50

Здравствуйте!
Заразился бук, и постоянно появляется эта гадость, и Spider его удаляет.
Плюс висит окно Warning. Spyware......
Полное сканирование в безопасном режиме ничего не дало.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 26.08.2008, 15:19

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\sysrest.sys');
 DeleteService('Winxh86');
 DeleteService('Winra32');
 DeleteService('Winjp06');
 DeleteService('Jqw41');
 DeleteService('WmiApSrvdmadminNetlogonRpcSs');
 DeleteService('WmiApSrvdmadmin');
 DeleteService('WmdmPmSNTlntSvr');
 DeleteService('WmdmPmSNNetlogon');
 DeleteService('WebClientSysmonLogPolicyAgent');
 DeleteService('WebClientDnscacheNetman');
 DeleteService('WebClientDnscache');
 DeleteService('upnphostSamSs');
 DeleteService('upnphostMSIServer');
 DeleteService('TrkWksShellHWDetectionScheduleClipSrvSysmonLogPolicyAgent');
 DeleteService('TrkWksShellHWDetectionSchedule');
 DeleteService('ThemesWmiApSrv');
 DeleteService('SysmonLogPolicyAgent');
 DeleteService('ScheduleSysmonLogPolicyAgent');
 DeleteService('ScheduleRDSessMgrwinmgmt');
 DeleteService('SCardSvrWmdmPmSNTlntSvrHTTPFilterSpoolerWudfSvc');
 DeleteService('SCardSvrWmdmPmSNTlntSvr');
 DeleteService('SCardSvrEventSystem');
 DeleteService('RpcSsHidServstisvcNtLmSspDnscache');
 DeleteService('RDSessMgrwinmgmt');
 DeleteService('ProtectedStorageScheduleSysmonLogPolicyAgent');
 DeleteService('oseSSDPSRV');
 DeleteService('NtLmSspDnscacheRasAuto');
 DeleteService('NtLmSspDnscache');
 DeleteService('NetlogonRpcSs');
 DeleteService('MSDTCWmdmPmSN');
 DeleteService('LmHostsRemoteRegistry');
 DeleteService('lanmanserverNetDDEWmiApSrv');
 DeleteService('lanmanserverNetDDE');
 DeleteService('ImapiServiceRemoteAccess');
 DeleteService('HTTPFilterSpoolerWudfSvcTrkWksShellHWDetection');
 DeleteService('HTTPFilterSpoolerWudfSvc');
 DeleteService('HTTPFilterSpoolerSharedAccess');
 DeleteService('HTTPFilterSpooler');
 DeleteService('HidServstisvcNtLmSspDnscacheRasAuto');
 DeleteService('HidServstisvcNtLmSspDnscache');
 DeleteService('HidServstisvcAlerter');
 DeleteService('HidServstisvc');
 DeleteService('FastUserSwitchingCompatibilityHTTPFilterSpoolerWudfSvc');
 DeleteService('ERSvcERSvc');
 DeleteService('COMSysAppmnmsrvc');
 DeleteService('COMSysAppAudioSrv');
 DeleteService('ClipSrvSysmonLogPolicyAgentNVSvc');
 DeleteService('ClipSrvSysmonLogPolicyAgent');
 DeleteService('BrowserTermServiceShellHWDetectionWebClient');
 DeleteService('BrowserTermServiceShellHWDetectionMDM');
 DeleteService('BrowserTermServiceShellHWDetection');
 DeleteService('BrowserTermService');
 DeleteService('BITSERSvcERSvc');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysrest32.exe','');
 QuarantineFile('c:\windows\system32\sysrest32.exe','');
 DeleteFile('c:\windows\system32\sysrest32.exe');
 DeleteFile('C:\WINDOWS\system32\sysrest32.exe');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jqw41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winra32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxh86.sys');
 DeleteFile('C:\WINDOWS\system32\blphcvv5j0e7ac.scr');
 DeleteFile('C:\WINDOWS\System32\drivers\a083161.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Winjp06.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Winra32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Winxh86.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ....

**aqua** · 26.08.2008, 15:49

Карантин выслал. Вот новые логи.

**V_Bond** · 26.08.2008, 16:11

пофиксите ...

Код:

O20 - Winlogon Notify: laughb - C:\WINDOWS\

пуск выполнить sfc /scannow ( понадобится диск с дистрибутивом)
затем новые логи ...

**aqua** · 26.08.2008, 16:54

В хайджек пофиксил.
Диска с дистрибутивом нету. А если SP3 наложить, вместо sfc /scannow, поможет?

**Rene-gad** · 26.08.2008, 17:19

Сообщение от aqua

В хайджек пофиксил.
Диска с дистрибутивом нету. А если SP3 наложить, вместо sfc /scannow, поможет?

Нет. Сервиса Паки устраняют уязвимости, но не лечат систему.

**aqua** · 26.08.2008, 17:52

Вот новые логи.
Проблем не наблюдаю.

**Rene-gad** · 26.08.2008, 18:09

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('a083161');
 QuarantineFile('C:\WINDOWS\System32\drivers\a083161.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\a083161.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('a083161');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**aqua** · 26.08.2008, 18:17

Файл в карантин не попал. Вот новые логи.

**Rene-gad** · 26.08.2008, 18:19

В логах проблем не нашел.
Поставьте Сервис Пак 3. Возможно потребуется активация системы.

**aqua** · 26.08.2008, 18:19

Ок.
Спасибо.

Trojan.Spambot.3432 (заявка № 28953)

Опции темы

Trojan.Spambot.3432

Похожие темы

Trojan.Spambot.origin и Trojan.Siggen.18257

Trojan.Spambot.origin и Trojan.Siggen.18257 - пытаемся вылечить руками

Наловила... Trojаn.spаmbot.4492, BаckDoor.Tofsee, Trojаn.Siggen.38256.

Trojan.Spambot.2559, Trojan.Inject.544, Trojan.Proxy.2373, Trojan.MulDrop.9764 и др.

Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478

Ваши права в разделе