Показано с 1 по 20 из 20.

Не видится троян. Идет постоянный исходящий SMTP трафик (SPAM-рассылка). (заявка № 9942)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42

    Thumbs up Не видится троян. Идет постоянный исходящий SMTP трафик (SPAM-рассылка).

    Компьютер заразился трояном:
    После загрузки начинается сетевая активность - идет постоянный исходящий SMTP трафик (SPAM-рассылка).
    Не знаю связано ли это, но, кроме того, не работает спулер.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Скачайте приложенную программу ((с)Muffler), распакуйте и запустите в безопасном режиме. Потом выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\cp1041.nls');
     BC_DeleteFile('c:\cp1041.nls');
    ExecuteSysClean;
    ClearHostsFile;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи.
    Последний раз редактировалось Bratez; 19.12.2009 в 04:59.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Выполнил программу и скрипт, новые логи прикрепил.
    Заметил, что в реестре постоянно появляется следующий ключ:

    [HKEY_USERS\S-1-5-21-583907252-764733703-839522115-1003\Software\Microsoft\Internet Explorer\Security]
    "Sending_Security"="Medium"
    "Viewing_Security"="Low"
    "Safety Warning Level"="Query"
    "installation_id"=hex:6f,c2,15,98,2d,0f,b5,48,bc,2 5,be,dc,6b,63,70,fc
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearHostsFile;
    RebootWindows(false);
    end.
    Для контроля еще раз сделайте логи, начиная с п.10 правил.

    В общем, Spam-Tool мы с вами успешно удалили, но есть серьезные замечания: во-первых, обязательно установите SP2 + последующие обновления Windows, без них ваша система - решето; во-вторых, антивирус тоже нужен обязательно! Иначе будете завсегдатаем раздела "Помогите!"
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Спасибо за помощь!!

    Антивирус установлен, просто его снесли на период лечения AVZ (может этого делать и не нужно было, но решили подстраховаться...)
    Обновления установим.

    Ключ в реестре после исправления ndis спокойно удалился.
    Прикрепляю свежие логи
    Насторожило, что в скрипте стоит
    RebootWindows(false);
    но винды все равно перезагрузились (или так и должно было быть?)

    И может ли кто-то подсказать, что делать со спулером?
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    винды все равно перезагрузились
    Это правильно.
    Странно, что файл Hosts не очищается, значит кто-то его записывает снова!
    Пришлите по правилам файл C:\Program Files\HFXP2\hfxp.exe.
    И еще вопрос: Remote Administrator вы сами ставили?

  8. #7
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    РАдмин я сам ставил, потом снес - на него антивирусы ругались.
    Указанный файл - программа HideFoldersXP - прячет указанные каталоги от посторонних глаз.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('r_server');
    BC_Activate;
    RebootWindows(false);
    end.
    Присланный файл чистый.

    Насчет файла Hosts давайте проверим вручную в AVZ:
    1. Файл - Восстановление системы - п.13 - Выполнить.
    2. Сервис - Менеджер файла Hosts:
    не считая комментариев, должна быть только строка 127.0.0.1 localhost
    3. Закрываем AVZ и перезагружаемся.
    4. Повторяем п.2, сообщаем результат.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Через п.13 файл hosts не очищался, но зайдя в Сервис-Менеджер файла hosts и удалив вручную все строки кроме localhost, файл сохранился в таком виде и больше не заполняется, даже после перезагрузки.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Через п.13 файл hosts не очищался
    Видимо, какой-то глюк в AVZ. Ну что ж, как говорится, не мытьем так катаньем. Главное - результат. На всякий случай еще разок сделайте логи начиная с п.10 правил.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Спасибо за помощь!!!
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    В логах чисто. Настройки прокси-сервера сами прописывали?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Теперь все в порядке! Разве что вот эти службы можно отключить для полной стерильности (полагаю, вы их не используете?):
    Код:
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
    И не затягивайте с установкой SP2 и далее!
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Уже все сделали, спасибо огромное!!!!

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Советую почитать на досуге вот эту книгу.

    Вы можете нас отблагодарить так. Мы будем Вам очень благодарны!
    В качестве вариантов ещё почитайте тут и тут.

    Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

    Удачи!

  17. #16
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Цитата Сообщение от MaXim Посмотреть сообщение
    В логах чисто. Настройки прокси-сервера сами прописывали?
    Да, мы ходим в инет через прокси (Squid)

  18. #17
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Есть еще один комп с похожей проблемой, но, вроде, троян другой (а может и нет...)
    Мне завести другую тему или можно обсудить это здесь?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Мне завести другую тему или можно обсудить это здесь?
    Лучше другую.

  20. #19
    Junior Member Репутация
    Регистрация
    22.05.2007
    Сообщений
    49
    Вес репутации
    42
    Уже :-))

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Fortunate, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Исходящий SMTP трафик
      От SlyAss в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 21.08.2009, 16:14
    2. Исходящий трафик на SMTP
      От kllerk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:05
    3. помогите. исходящий smtp трафик (часть 2)
      От Igorius75 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.09.2008, 15:32
    4. помогите. исходящий smtp трафик.
      От Igorius75 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.09.2008, 15:27
    5. Постоянный исходящий трафик
      От urvin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.10.2007, 11:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01478 seconds with 17 queries