Mass Mailer - рассылка спама

[kerib]

Доброго времени суток!
Касперский 7.0 предупреждает о "Потенциально опасном ПО
Mass-mailer software" из c:\windows\system32\services.exe.
Осуществляется рассылка писем - рекламного спама.

Расчитываю на Вашу помощь!
С наилучшими пожеланиями

[DefesT]

Здравствуйте.
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по djajtu и выберите "Turn Run Off". Подтвердите перезагрузку.
После пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - {96bd526e-2d24-4d9e-b693-0a6911621871} - (no file)

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\djajtu.sys','');
 QuarantineFile('C:\WINDOWS\system32\admdll.dll','');
 QuarantineFile('C:\Documents and Settings\Админ\Application Data\CMedia\CMedia.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\5kZi8pC.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('c:\windows\system32\p2001.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\5kZi8pC.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\djajtu.sys');
 DeleteFile('C:\Documents and Settings\Админ\Application Data\CMedia\CMedia.dll');
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DeleteFileMask('C:\Documents and Settings\Админ\Application Data\CMedia','*.*',true);
DeleteDirectory('C:\Documents and Settings\Админ\Application Data\CMedia');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log). Такой вопросик - почему не используйте Касперского 10 версии?

[kerib]

Спасибо Каспер перестал ругатся и прекратилась рассылка спама. А что делать с файлами что в карантине AVZ?. Буду наверно переходить на 10 Каспер!!!. DefesT тебе респект и уважуха!!! Карантин я выслал, логи тоже выкладывать или нет?

[DefesT]

Да логи тоже надо сделать. РАдмином пользуетесь?
То что в карантин попало.
admdll.dll - RemoteAdmin.Win32.RAdmin.20
djajtu.sys - Rootkit.Win32.Bubnix.o

[kerib]

Выкладываю логи. Да Радмином пользуюсь.

[kerib]

Логи.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\5kZi8pC.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\stwbayu.sys','');
 DeleteFile('\\?\globalroot\systemroot\system32\5kZi8pC.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[kerib]

Сделал новые логи. Что еще что-то нашли?

[thyrex]

Чисто. Излишняя подозрительность

Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 20
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\admdll.dll - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Program.RemoteAdmin.21 )
  2. c:\windows\system32\drivers\djajtu.sys - Rootkit.Win32.Bubnix.o ( BitDefender: Gen:Rootkit.Nixoa.1, AVAST4: Win32:Qandr [Rtk] )