Junior Member
Вес репутации
56
Добрый день! Идет несанкционированная рассылка с компьютера.
Добрый день!
Антивирус стоит DrWeb, обновленный, лицензионный. Стоит монитор Spider Guard и Spider Mail. Находит при загрузке 1 вирус, удаляет.
Но идет рассылка писем с компа, порядка 100шт. в час.
Приложен файл скана системы Kaspersky Virus Removal Tool.
Инет пока работает.
Спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Aho64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbg52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmt07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvd74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe42.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_DeleteSvc('Aho64');
BC_DeleteSvc('Tbg52');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Winhn06');
BC_DeleteSvc('Winlr41');
BC_DeleteSvc('Winmt07');
BC_DeleteSvc('Winsa06');
BC_DeleteSvc('Winvd74');
BC_DeleteSvc('Winwe42');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36436
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
56
Все сделал. Лог прилагаю.
Вложения
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DelWinlogonNotifyByKeyName('WinCtrl32')
DelWinlogonNotifyByKeyName('WinNt32')
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36436
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
56
Результат
Выполнил, добавив ; в конце строк 6 и 7 (ничего в этом не понимаю, но иначе не работало .
Лог вкладываю.
Вложения
Ничего зловредного в логах нет.
Сообщение от
rostov1
Выполнил, добавив ; в конце строк 6 и 7 (ничего в этом не понимаю, но иначе не работало
.
Что с проблемами?
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
56
На глаз - рассылка прекратилась после выполнения 1 скрипта.
Смотрел сайт интерфакса вчера, по-моему тогда заразу и подхватил, странно.
DrWeb обновлял, на сегодняшнее утро в базе такого вируса не было, хотя и включал на мониторинг всех файлов.
Если что замечу еще - напишу.
Спасибо большое за помощь, с наступающими праздниками!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 4 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\services.exe - Email-Worm.Win32.Joleee.dd (DrWEB: Trojan.Spambot.3531)