-
Junior Member
- Вес репутации
- 64
компьютер рассылает спам :/
один из компьютеров в сети занялся рассылкой спама... :/ просканировав компьютер DrWeb-ом и потом отдельно еще и Cure-It-ом были найдены следующие паразиты:
Trojan.DownLoad.6035
Trojan.DownLoad.26718
больше ни DrWeb, ни NOD32 ничего не находят. 
но это проблемму не решило... в директории C:\Temp лежат куча .tmp файлов в которых xml-ки с адресами и текстами сообщений. эти самые xml постоянно обновляются. так же в этой папке есть файлик SYS2.tmp.exe
больше ничего подозрительного в системе не видно...
Последний раз редактировалось nazgul; 18.01.2011 в 12:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Установите AVZPM и повторите логи AVZ...
-
-
Junior Member
- Вес репутации
- 64
вот-с... установил и проверил...
Последний раз редактировалось nazgul; 18.01.2011 в 12:10.
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mcenspc.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\nssurrnu.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeeuefoaqfi.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\aeeuefoaqfi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nssurrnu.sys');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\mcenspc.dll');
DeleteService('nssurrnu');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=38005
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 64
карантин выслал... вот логи....
спасибо! =)
Последний раз редактировалось nazgul; 18.01.2011 в 12:10.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('mcenspc.dll','');
QuarantineFile('digeste.dll','');
DeleteService('bykabp');
QuarantineFile('C:\WINDOWS\system32\drivers\aeeuefoaqfi.sys','');
DeleteService('SharedAccessDhcp');
QuarantineFile('C:\WINDOWS\system32\wpv9960.cpx srv','');
DeleteFile('C:\WINDOWS\system32\wpv9960.cpx srv');
DeleteFile('C:\WINDOWS\system32\drivers\aeeuefoaqfi.sys');
DeleteFile('digeste.dll');
DeleteFile('mcenspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 64
Последний раз редактировалось nazgul; 18.01.2011 в 12:10.
-
-
-
Junior Member
- Вес репутации
- 64
спам перестал идти сразу же после первого скрипта. =) но у вируса бывали дни затишья когда он ничего не отсылал... так что будем смотреть что будет происходить в ближайшие пару дней.
спасибо за помощь!
Последний раз редактировалось nazgul; 22.01.2009 в 23:08.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\drweb\\infected.!!!\\~.exe - Trojan.Win32.Agent.baux
- c:\\windows\\system32\\digeste.dll - Trojan.Win32.Agent2.aat
- c:\\windows\\system32\\drivers\\aeeuefoaqfi.sys - Rootkit.Win32.Pakes.hr
- c:\\windows\\system32\\mcenspc.dll - Trojan.Win32.Agent2.aau
-
