Система стала спам-зомби

**Kieran** · 25.05.2009, 12:39

Намедни, обратил внимание, что Касперский 2009 (регулярно обновляемый) перестал работать и постоянно идет интернет-трафик, проанализировав активность, стало ясно, что процесс services.exe осуществляет спам-рассылку. Попытки загрузить Касперский вручную ни к чему не привели, программы avz, HiJackThis, Process Explorer с исходными именами тоже не запускались. Поставив AVG Free и просканировав систему, ничего подозрительного не было обнаружено. Так же в системе появилось 3 "левых" устройства.

Помогите, пожалуйста, избавиться от этого паразита…

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 25.05.2009, 13:27

Отключить оба а/вируса!!!
Скачать IceSword. В нем найти C:\WINDOWS\System32\drivers\47c20f41.sys и удалить его, предварительно скопировав его куду-нибудь с другим именем.

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.00\Exceed\Tbedit.exe','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\47c20f41.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\47c20f41.sys');
 DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46481

**Kieran** · 25.05.2009, 18:07

Все сделал – паразитный SMTP трафик прекратился, все программы запускаются нормально, остались только посторонние устройства, но я их деактивировал и они не мешают.
Большое спасибо за помощь!

**PavelA** · 25.05.2009, 19:09

Не так тут все хорошо.

1. Скачать Icesword. В нем искать C:\WINDOWS\system32\drivers\smwdm.sys,
C:\WINDOWS\System32\drivers\47c20f41.sys. если найдутся скопировать
на раб.стол с другим именем и прислать через карантин AVZ
2. regedit запускается?

**Kieran** · 26.05.2009, 10:43

1 - Поискал файлы, теперь они отсутствуют
2 - Regedit запускается, функционирует нормально

**Kuzz** · 26.05.2009, 10:46

Сообщение от PavelA

Отключить оба а/вируса!!!
Скачать IceSword. В нем найти C:\WINDOWS\System32\drivers\47c20f41.sys и удалить его, предварительно скопировав его куду-нибудь с другим именем.

После выполнения этого пункта должен остаться переименованый файл 47c20f41.sys
Его тоже нужно прислать по правилам.

**Kieran** · 26.05.2009, 11:45

Прислал файл отдельно.
Посчитал что не было необходимости, т.к. он был в карантине, не нулевого размера, после выполнения скрипта в AVZ и был выслан вместе с остальными файлами.

**PavelA** · 27.05.2009, 09:52

47.c20 - Backdoor.Win32.NewRest.z вот так этот зверь зовется. Да и кстати в первом карантине его не было.

Добавлено через 6 минут

BITS,wuauserv - эти службы подкорректировать в редакторе реестра.
Как и что сделать читать http://virusinfo.info/showthread.php?t=43700

**Kieran** · 27.05.2009, 15:25

Про файл - sorry, просто он висел в списке карантинных файлов AVZ, с правильным размером

Параметры запуска служб подправил, действительно вирус и там поработал

P.S Еще спасибо за быстую и квалифицированную помощь!

**CyberHelper** · 28.05.2009, 15:25

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. e:\47.c20 - Backdoor.Win32.NewRest.z ( BitDefender: Gen:Rootkit.Heur.5003FCBCBC )

Система стала спам-зомби (заявка № 46481)

Опции темы

Система стала спам-зомби

Итог лечения

Похожие темы

Система стала жутко тормозить :(((

система стала очень медленно работать

Система стала подтормаживать

Стала сильно тормозить система

Система стала тормозить(

Ваши права в разделе