Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Trojan Packed.612 и рассылка спама с компа (заявка № 29732)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58

    Trojan Packed.612 и рассылка спама с компа

    Нортон сообщил об отражённой атаке на комп, поймал несколько троянов, сообщил о десятке экзешников и .tmp, которые изменили параметры запуска системы, после этого пошла массовая рассылка писем с компа, система засыпала сообщениями о сбоях и комп сам перезагрузился.

    После перезагрузки в трее повилось это дебильное "Your comp is infected".

    Запустила Доктора Веба. Он нашёл Trojan.Packed.612, запросил "Лечить?", я нажала "Да", и после этого комп снова перезагрузился.
    После перезагрузки появилось сообщение "Система восстановлена после серьёзной ошибки".

    Снова запустила Паучка, снова обнаружен тот же троян, снова "Да" - та же фигня с перезагрузкой. И то же сообщение о восстановлении системы после серьёзной ошибки.

    Плюнула на паука, запустила AVZ. Правда, после этих сообщений о восстановлении системы очканула и не отключила восстановление Винды. Гляньте логи, плиз, если всё-таки надо - я переделаю с отключенным восстановлением.

    При каждом подключении к интернету идёт спам-рассылка В IE стартовой страницей стал Гугл (кстати, всё случилось при заходе на него, или с него на один из сайтов). Нортон продолжает сообщать о блокировке троянов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('SysmonLogccSetMgr');
     DeleteService('EventSystemWZCSVC');
     DeleteService('EventSystem LiveUpdate Scheduler');
     DeleteService('Winty63');
     DeleteService('Winrw74');
     DeleteService('Winpv06');
     DeleteService('Wingq17');
     DeleteService('Wingm73');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     QuarantineFile('c:\docume~1\victor~1\locals~1\temp\loader.exe','');
     QuarantineFile('C:\DOCUME~1\VICTOR~1\LOCALS~1\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\dns-sd.exe','');
     QuarantineFile('WinCtrl32.dll','');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('c:\docume~1\victor~1\locals~1\temp\loader.exe');
     DeleteFile('C:\DOCUME~1\VICTOR~1\LOCALS~1\Temp\loader.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingm73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingq17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpv06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrw74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty63.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('SysmonLogccSetMgr');
     BC_DeleteSvc('EventSystemWZCSVC');
     BC_DeleteSvc('EventSystem LiveUpdate Scheduler');
     BC_DeleteSvc('Winty63');
     BC_DeleteSvc('Winrw74');
     BC_DeleteSvc('Winpv06');
     BC_DeleteSvc('Wingq17');
     BC_DeleteSvc('Wingm73');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29732

    3. Повторите логи.
    Последний раз редактировалось Aleksandra; 07.09.2008 в 15:44.

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    Aleksandra,

    Ой, я уже всё переделала с отключенным восстановлением, новые логи прилагаю. Кстати, и рассылка спама прекратилась вроде.
    Мне всё равно выполнить именно этот скрипт?
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от Vivisin Посмотреть сообщение
    Мне всё равно выполнить именно этот скрипт?
    Да, в логах все тоже самое.

    Добавлено через 25 минут

    После выполнения скрипта повторите логи.
    Последний раз редактировалось Aleksandra; 07.09.2008 в 18:05. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    всё сделала.

    После выполнения скрипта значок в трее "Ваш комп инфицирован" пропал, перед отсылкой карантина Нортон нашёл Trojan.Pandex и комп сам перезагрузился, послать карантин не успела (со второй попытки только удалось). После перезагрузки этот значок снова появился.
    Нортон сообщил, что ему не удалось полностью удалить этот троян, и предложил перезагрузку для удаления. Перезагрузилась. Красный кружок с белым крестом после этого из трея исчез. При подключении к инету Нортон снова обнаружил тот же троян

    Переделала логи, после перезагрузки значок снова в трее и спам снова рассылается с компа Скоро меня провайдер вообще отключит, наверное.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    и braviax.exe снова в процессах

    стартовая у IE - снова Гугл, причём переходы на любые другие страницы не работают вообще. То есть, фактически, IE уже не работает.
    Почти не работает Outlook Express. Зависает намертво.

    Помогите
    Последний раз редактировалось Vivisin; 07.09.2008 в 20:26. Причина: добавила симптом

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    отключите антивирус ... !!!
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      BC_DeleteSvc('Winsy30');
      BC_DeleteSvc('Winrx17');
      BC_DeleteSvc('SysmonLogccSetMgrDnscache');
      BC_DeleteSvc('NtmsSvcRemoteAccess');
      BC_DeleteSvc('MSIServerMSIServer');
      BC_DeleteSvc('MDMmnmsrvc');
      BC_DeleteSvc('lanmanworkstationCLSched');
      BC_DeleteSvc('SysmonLoggusvc');
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи...

  9. #8
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    сделала.
    при перезагрузке после выполнения скрипта комп не перезагрузился, а завис, помогло только аварийное отключение.
    при загрузке системы на рабочем столе не было ничего и ни одна программа не работала, я снова перезагрузилась.
    на рабочем столе появилось сообщение о восстановлении Active Desktop, при нажатии на "Восстановить" вылезла ошибка сценария, "команда не поддерживается объектом.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\System32\Drivers\Winwd28.sys - force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winnt17');
     BC_DeleteSvc('Winci05');
     BC_DeleteSvc('Winwd28');
     BC_DeleteSvc('ThemesMessenger');
     BC_DeleteSvc('S24EventMonitorRasAuto');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwd28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winci05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnt17.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  11. #10
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    Скачала (там был PC Tools Spyware Doctor), установила. Пишет, что нужно обновиться, нажала на Смарт Апдэйт, пишет, у меня последняя версия. Он должен запускаться и сканировать систему? Он это не делает.

    Файл IceSword'ом удалила, логи сейчас повторю.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    не нужен вам никакой Spyware Doctor .... руки вперед головы... не нужно было там ничего нажимать ...

  13. #12
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    Вы мне ссылку на него дали, сказали скачать. Деинсталлировать его?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    да ...

  15. #14
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    вот логи.
    IE опять не работает.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Program Files\kinozaltv\tbkin0.dll','');
     BC_DeleteSvc('ThemesMessenger');
     BC_DeleteSvc('S24EventMonitorRasAuto');
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  17. #16
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    Сделано.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    RebootWindows(true);
    end.
    повторите логи ...

  19. #18
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    готово.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пуск выполнить
    sc delete S24EventMonitorRasAuto
    sc delete ThemesMessenger
    после каждой строки естественно enter
    повторите логи ...

  21. #20
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    21
    Вес репутации
    58
    есть.
    Вложения Вложения

  • Уважаемый(ая) Vivisin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Рассылка спама
      От O4ku в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.07.2012, 13:38
    2. С компа идёт рассылка спама
      От NicesIce в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.12.2009, 02:13
    3. Рассылка спама с моего компа
      От Dimm в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 08.04.2009, 16:32
    4. Ответов: 24
      Последнее сообщение: 05.02.2009, 19:59
    5. Рассылка спама с моего компа порт 25
      От Teggi в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.02.2009, 21:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00225 seconds with 18 queries