Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Спам-рассылщик (заявка № 32523)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35

    Thumbs up Спам-рассылщик

    При выходе в инет с компа идут данные, загружая полностью трафик (скорость малая 128 кбит/с), т. е. ни один сайт открыть не могу. Щас вышел с рабочего компа. Можно ли моё лечение растянуть на день-два, бо я днём на работе, дома вечером. Логи принес на флешке. При проверке AVZ находит подозрение на Троян в C/Programfiles/Bonjour. Карантин сделал после проверки.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\drivers\synsenddrv.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\SmartShopper\Bin\2.5.0\SmrtShpr.dll','');
     DeleteService('synsend');
     DeleteFile('000005D2.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
     DeleteFile('C:\WINDOWS\system32\drivers\000005D2.sys ');     
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('synsend');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Скрипты скопировал, IceSword перекачал. Дома выполню. Если смогу выйти в инет, то сегодня отвечу. Карантин выслал, который после вчрашней прверки. Спасибы

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Если вдруг задержитесь, то не волнуйтесь. Придете, найдете свою тему и мы продолжим лечение, если понадобится.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Скрипт выполнил, теперь после проверки AVZ ничего не находит, карантина соответственно нет. В проводнике программы IceSword и без неё по пути C:\WINDOWS\system32\drivers\synsenddrv.sys нет такого файла - самый похожий srv.sys. Рассылка спама всё равно идёт. Логи прилагаю.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Профиксить:
    Код:
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O9 - Extra button: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - shell32.dll (file missing)
    O9 - Extra button: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - shell32.dll (file missing)
    O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - shell32.dll (file missing)
    O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - shell32.dll (file missing)
    Добавлено через 5 минут

    Проблема в том, что 'C:\WINDOWS\system32\drivers\synsenddrv.sys' живет и трудится.
    Последний раз редактировалось PavelA; 23.10.2008 в 09:51. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Спасибо, дома профиксю.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('synsend');
     SetServiceStart('synsend', 4);
     StopService('synsend');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('synsend');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Простите за неграмотность. А есть разница что сначала сделать - прфиксить или выполнить скрипт?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Сначала пофиксите затем скрипт..

  12. #11
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Благодарю

  13. #12
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Профиксил, скрипт выполнил, не помогло. Логи высылаю.
    Вложения Вложения
    Последний раз редактировалось Sserregga; 27.10.2008 в 09:23.

  14. #13
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Помогите удалить спам-рассылщик, плз. На всякий случай сделал новые логи.
    Вложения Вложения

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    C:\WINDOWS\system32\drivers\synsenddrv.sys - найти и удалить через IceSword.

    Затем:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('realevent.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\000006D6.sys');
     BC_DeleteFile('000006D6.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин

    Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    В данный момент выхожу с домашнего компа, т.к. спам-рассылщик почему-то заснул. Файл synsenddrv.sys найти так и не нашел. Нужно ли мне выполнить скрипт в этом случае или сначало обязательно сделать 1 пункт лечения (не знаю правда каким образом)

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Если не можете найти, делайте скрипт...

  18. #17
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Скрипт выполнил, карантин выслал, логи прилагаю
    Вложения Вложения

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Все на месте, вы в айсворд хорошо смотрите?

  20. #19
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    В айссворде я хорошо смотрю. Когда по указанному пути выбираю папку drivers, появляется куча файлов с расширением .sys и файла synsenddrv.sys там нет. Является ли неправильным, то что при запуске Айссворда появляется окно с надписями: IoCompleteRequest was hooked(=> 89155c2d,in C:\WINDOWS\System32\Drivers\00000655),restore now. или IoCompleteRequest was hooked(=> 8919fc2d,in C:\WINDOWS\System32\Drivers\000006A6),restore now.

  21. #20
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    30
    Вес репутации
    35
    Спасибо, ребята, кто пытался помочь. Но сейчас спам-рассылщика нет. Когда появится, буду вновь обращатся к Вам за помощью. А "synsenddrv.sys" я так всё равно и не нашел, наверно хорошо прячется.

  • Уважаемый(ая) Sserregga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Спам
      От Jbond в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.11.2009, 16:17
    2. долой спам-спам-спам....спааам
      От DeFreeze в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2009, 22:28
    3. спам
      От burovgleb в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.04.2009, 02:02
    4. Спам бот.
      От Rmt3 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 03:39
    5. Рассылщик спама
      От unload84 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.07.2008, 10:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01343 seconds with 17 queries