Показано с 1 по 20 из 20.

win32/spamtool.blen trojan (заявка № 41971)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57

    Question win32/spamtool.blen trojan

    Nod32 сообщал, что http:/rec.faderups.com/d/hmach07.exe заражён win32/spamtool.blen trojan. Я нажимал Terminate, но последнее время эти сообщения стали появляться чаще.(Даже сейчас выскочило одно, теперь уже /rec2.federups.com/d/hmunmlcn83.exe) Так же окно NOD32 стало в стиле Windows 98. Видимо вирус покусал и NOD тоже, но AVZ исправил, и NOD сейчас впорядке, хотя окна до сих пор вылетают.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Lbd.sys','');
     QuarantineFile('C:\DOCUME~1\Seroga\LOCALS~1\APPLIC~1\MICROS~1\cisvc.exe','');
     QuarantineFile('C:\DOCUME~1\Seroga\APPLIC~1\esentutl.exe','');
     DeleteService('WINIO');
     QuarantineFile('C:\DOCUME~1\Seroga\LOCALS~1\Temp\Rar$EX00.656\winio.sys','');
     TerminateProcessByName('c:\windows\system\sessmgr.exe');
     QuarantineFile('c:\windows\system\sessmgr.exe','');
     DeleteFile('c:\windows\system\sessmgr.exe');
     DeleteFile('C:\DOCUME~1\Seroga\LOCALS~1\Temp\Rar$EX00.656\winio.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=41971
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Логи:
    Добавил syscure.zip Извините, что не загрузил сразу, решил, что лечение уже произведено и хватит логов проверки, и лечение делать не надо.
    Вложения Вложения
    Последний раз редактировалось blackdeth; 18.03.2009 в 20:10.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Где лог virusinfo_syscure.zip?

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Выше добавлено.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
     TerminateProcessByName('c:\docume~1\seroga\locals~1\applic~1\micros~1\cisvc.exe');
     DeleteFile('c:\docume~1\seroga\locals~1\applic~1\micros~1\cisvc.exe');
     DeleteFile('C:\DOCUME~1\Seroga\APPLIC~1\esentutl.exe');
     DeleteFile('C:\DOCUME~1\Seroga\LOCALS~1\Temp\esentutl.exe');
     DeleteFile('C:\WINDOWS\dllhst3g.exe');
     DeleteFileMask('%tmp% ','*.* ',true );     
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  8. #7
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Логи:
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Восстановление системы: включено
    ------> срочно отключить...
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Извините пожалуйста. Не знаю как умудрился не заметить. Просто на автомате залез в меню восстановления, кликнул там где галка должна стоять нажал ОК и вышел. Оказывается у меня до этого было отключено и я тем самым включил. Сейчас выключил, заново логи.
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\DOCUME~1\Seroga\LOCALS~1\Temp\dllhst3g.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\dllhst3g.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи.
    От ТрендМикро на машине что-то установлено?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Логи. От TrendMicro, врятли что-то важное, я когда-то пользовался их он-лайн сканером. Вирусы гонял. Может быть остались какие-нибудь временные файлы.
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сделайте полную проверку AVPTool и повторите логи...

  14. #13
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Проверка ничего не выявила. Вот логи. Virus Removal tool поставился только в безопасном режиме. Так же, Диспетчер Задач показывает что оперативная память сильно загружена. Постоянно какие-то странные процессы появляются, которые "едят" память.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполнить:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Lbd.sys','');
     QuarantineFile('C:\WINDOWS\cmstp.exe','');
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  16. #15
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Ещё заметил, что logman.exe постепенно увеличивает количество потребляемой памяти. Приходится процесс вырубать. Карантин загрузил в zip. Только пароль не ставится.
    Последний раз редактировалось blackdeth; 20.03.2009 в 23:48.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\cmstp.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  18. #17
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Логи. А карантина нового нет. Только за 20.03.09 есть. А его я уже загрузил.
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('sony_ssm.sys');
     QuarantineFile('C:\WINDOWS\System32\drivers\clipsrv.exe','');
     QuarantineFile('C:\DOCUME~1\Seroga\LOCALS~1\Temp\mstinit.exe','');
     QuarantineFile('C:\DOCUME~1\Seroga\LOCALS~1\Temp\sony_ssm.sys','');
     DeleteFile('C:\DOCUME~1\Seroga\LOCALS~1\Temp\mstinit.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\clipsrv.exe');
     DeleteService('sony_ssm.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('sony_ssm.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  20. #19
    Junior Member Репутация
    Регистрация
    26.10.2008
    Сообщений
    18
    Вес репутации
    57
    Логи. Никакого Bonjour у меня нет. Как я понял, это создатель виртуальной локальной сети. У меня эту функцию выполняет Hamachi. Карантин тоже загрузил.

    Большое спасибо всем, кто помогали. Я сделал формат Ц. Так что теперь комп чистый.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 25.03.2009 в 23:29.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\seroga\applic~1\esentutl.exe - Trojan-Downloader.Win32.Agent.bmye
      2. c:\docume~1\seroga\locals~1\applic~1\micros~1\cisv c.exe - Trojan-Downloader.Win32.Agent.bmye
      3. c:\docume~1\seroga\locals~1\temp\mstinit.exe - Trojan-Downloader.Win32.Agent.bmye
      4. c:\windows\cmstp.exe - Trojan-Downloader.Win32.Agent.bmye
      5. c:\windows\system\sessmgr.exe - Trojan-Downloader.Win32.Agent.bmye
      6. c:\windows\system32\drivers\clipsrv.exe - Trojan-Downloader.Win32.Agent.bmye
      7. \2009-03-18\bcqr00003.dta - Trojan-Downloader.Win32.Agent.bmye
      8. \2009-03-18\bcqr00004.dta - Trojan-Downloader.Win32.Agent.bmye
      9. \2009-03-18\bcqr00005.dta - Trojan-Downloader.Win32.Agent.bmye
      10. \2009-03-18\bcqr00006.dta - Trojan-Downloader.Win32.Agent.bmye


  • Уважаемый(ая) blackdeth, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите Win32/SpamTool.Agent.NBT плизззз!!!!!!!
      От VoLt в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.03.2009, 14:30
    2. SpamTool.Win32.Small.z
      От Ruslanabk в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 09:07
    3. SpamTool.Win32.Small.z & Backdoor.Win32.IRCBot.csk не удаляются
      От Mattini в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 06:13
    4. Руткит в smss.exe и SpamTool.Win32.Agent.ej
      От splinter_ru в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 03:31
    5. SpamTool.Win32.Agent.ej :: Trojan.Win32.KillAV.ne
      От Wolfikus в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 03:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01311 seconds with 18 queries