Показано с 1 по 11 из 11.

Предположительно СПАМ рассыльщик (заявка № 40143)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2009
    Сообщений
    8
    Вес репутации
    56

    Question Предположительно СПАМ рассыльщик

    Добрый вечер!

    Во время интернет-сеанса Symantec обнаружил 2 зараженных объекта: Donwloader и Bloodhound.Exploit.196, первый удалил, второй успешно поместил в изолятор.
    Сразу после этого Symantec Email Proxy начал посылать различного рода сообщения о том, что куда-то кому-то не удалось отправить по разным причинам.
    Полная проверка компьютера Symantecом, Карсперским ничего не дала. CuteIt нашел два HLLW.Autoruner.
    Сообщения продолжают сыпаться.

    Надеюсь на вашу помощь!
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    отключите интеренет и антивирус.
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     QuarantineFile('C:\WINDOWS\system32\servises.dll','');
     QuarantineFile('c:\program files\common files\akamai\rswin_3497.dll','');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=40143

  4. #3
    Junior Member Репутация
    Регистрация
    20.02.2009
    Сообщений
    8
    Вес репутации
    56
    Карантин выслал.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    значит так C:\WINDOWS\system32\servises.exe - Trojan.Win32.Agent2.dwz по касперскому.
    по остальным файлам, если хотите- можно подождать, пока проверят и дадут имена.- я думаю, компьютеру вашему станет дышать легче без них.
    отключите антивирус и интеренет, выполнить скрипт для лечения :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\servises.exe');
    DeleteFile('C:\WINDOWS\system32\servises.dll');
    DeleteFile('c:\program files\common files\akamai\rswin_3497.dll');
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(16);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    сделайте новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    20.02.2009
    Сообщений
    8
    Вес репутации
    56
    Проблема вроде решилась, хотя скрипт где-то вконце подвис, перезагружал ручками.
    Но вот вопрос — как же устранить дыру в безопасности?
    Есть предполагаемый источник — tipografik . ru
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\winio.sys','');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    20.02.2009
    Сообщений
    8
    Вес репутации
    56
    Done.
    Опять скрипт подвис в конце. Сообщение выдает: Invalid data type ".
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите
    Код:
    O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
    повторите hijackthis.log

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    крепкий зверь попался
    скопируйте нам по второму пункту правил для изучения: C:\WINDOWS\System32\Drivers\axu36suo.SYS

    Затем попробуйте такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\axu36suo.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\axu36suo.SYS');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('axu36suo');
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
    RebootWindows(true);
    end.
    если и это не поможет,то ледяным мечём удалить ( http://virusinfo.info/showthread.php?t=17228)
    Код:
    C:\WINDOWS\System32\Drivers\axu36suo.SYS
    C:\WINDOWS\system32\servises.exe
    и повторить исполнение скрипта.

    P.S. удалите ваш эмулятор дисков, он нам мешает ловить троянов
    Последний раз редактировалось drongo; 20.02.2009 в 22:53.

  11. #10
    Junior Member Репутация
    Регистрация
    20.02.2009
    Сообщений
    8
    Вес репутации
    56
    Пофиксил.

    Файлов axu36suo.SYS и servises.exe на компьютере нет, поэтому карантин выслать не могу, а скрипт ничего полезного не делает (:

    PS архив IceSword защищен паролем. Если все-таки что-то придется удалить, намекните.
    Вложения Вложения

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\servises.dll - Trojan.Win32.Agent.brnx
      2. c:\windows\system32\servises.exe - Trojan.Win32.Agent2.dwz


  • Уважаемый(ая) burovgleb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подцепил гдето вирус предположительно рассылающий спам (заявка №51572)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 01.02.2011, 21:00
    2. Спам рассыльщик
      От Denis79 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.07.2010, 11:10
    3. Предположительно червь
      От arhitop в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.03.2009, 18:21
    4. Предположительно, повреждение c-setup.exe
      От Aleksashka в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 06:13
    5. Ноутбук - рассыльщик спама
      От Mr.Mennis в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01399 seconds with 18 queries