Позвонила знакомая, паника - вирусня прет.
Приехал, смотрю.
1. На компьютере установлен KIS 7, у того вылетает предупредительное окно, что через svchost идет рассылка писем. Смотрю, точно, Касперский прям захлебывается при проверке почты. Где-то за 2-3 минуты от нас ушло примерно 160 писем с трафиком 10,3 МВ на какие-то адреса (хотя стандартным почтовиком от винды не пользуемся и почтовой адресной книги тоже нет). Проверил Dr.Web CureIt ничего не нашел. Через одно место я все-таки прихлопнул Вроде-Бы эту гадость.
2. Смотрю в логи к Касперскому там второй троян, пришел с локальной сети. Думаю винда дрявая (установлена была Win ХР НE Sp1), обновил до SP3. Сидим без сети: вроде нормально. Только подключаемся к инету начитает выбивать атаку вирусную касперский (Trojan.DownLoad.2077 по Вебу). Прихлопнешь его. Вроде нормально. Вскоре опрять. Толи заражен ПК какой-то в локальной сети, а от него к нам прет. Толи у нас что-то. Не знаю.
Что посоветуете делать.
Вот логи
Через svchost идет неконтролируемая рассылка писем
Автор
Sergik644
, сен 26 2008 14:38
27 ответов в этой теме
#2
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 26 Сентябрь 2008 - 14:53
Присылайте нам в вирлаб файлы:
C:WINDOWSSystem32IoctlSvc.exe
C:WINDOWSSystem32~.exe
C:WINDOWSSYSTEM32WinCtrl32.dll - это оно и есть. У вас Bulknet/Rntm
еще драйвер должен быть, но что-то не нашел...
C:WINDOWSSystem32IoctlSvc.exe
C:WINDOWSSystem32~.exe
C:WINDOWSSYSTEM32WinCtrl32.dll - это оно и есть. У вас Bulknet/Rntm
еще драйвер должен быть, но что-то не нашел...
#3
ILNARus
-
- Posters
- 636 Сообщений:
Advanced Member
Отправлено 26 Сентябрь 2008 - 14:54
Пофиксить в HijackThis следующие строчки
Код:
O4 - HKLM..Run: [advap32] C:WINDOWSSystem32~.exe/r
O20 - Winlogon Notify: WinCtrl32 - C:WINDOWSSYSTEM32WinCtrl32.dll
Код:
O4 - HKLM..Run: [advap32] C:WINDOWSSystem32~.exe/r
O20 - Winlogon Notify: WinCtrl32 - C:WINDOWSSYSTEM32WinCtrl32.dll
#4
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 26 Сентябрь 2008 - 14:56
Ответ очевиден. У Вашей знакомой, без сомнения, стоит лицензионный KIS 7. Вам надо обратиться в тех поддержку Касперского.1. На компьютере установлен KIS 7
...
Что посоветуете делать.
#5
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 26 Сентябрь 2008 - 14:56
Пущай сначала нам файло достанется ;-)
#6
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 26 Сентябрь 2008 - 15:00
Файл C:WINDOWSSystem32driversWinej05.sys удален.еще драйвер должен быть, но что-то не нашел...
Файл C:WINDOWSSystem32driversWinej05.sys не может быть удален.
Не оно?
---
С уважением,
Borka.
#8
ILNARus
-
- Posters
- 636 Сообщений:
Advanced Member
Отправлено 26 Сентябрь 2008 - 15:06
Скачайте файл http://slil.ru/26151362 (оф. ссылка на полный дистр. http://rapidshare.com/files/140970549/RkU3.8.341.553...)
Запускаете, переходите на вкладку Report, кнопка Scan, убираете птичку на Files, меню File-save report. Покажите здесь.
Безопасный Интернет
Запускаете, переходите на вкладку Report, кнопка Scan, убираете птичку на Files, меню File-save report. Покажите здесь.
Безопасный Интернет
#9
tego87
-
- Posters
- 462 Сообщений:
Member
Отправлено 26 Сентябрь 2008 - 15:09
А что
-----
С уважением, Егор
(aka tego87)
вирус? У меня тоже такой файл есть.C:WINDOWSSystem32IoctlSvc.exe
-----
С уважением, Егор
(aka tego87)
#10
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 26 Сентябрь 2008 - 15:10
Каспер, зараза, все на себя перехватывает, сложно что-то увидеть будет :-)
#11
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 26 Сентябрь 2008 - 15:12
А хто ж его знает?вирус?
---
С уважением,
Borka.
#12
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 26 Сентябрь 2008 - 15:15
Если бы это можно было понять по имени файла - была бы лафа :-)
#13
ILNARus
-
- Posters
- 636 Сообщений:
Advanced Member
Отправлено 26 Сентябрь 2008 - 15:15
ну тогда своей же пушкой.... AVP Removal Tool :)... только не считайте рекламой...Каспер, зараза, все на себя перехватывает, сложно что-то увидеть будет :-)
-------------------------------------------------
Безопасный Интернет
#14
Sergik644
-
- Posters
- 188 Сообщений:
Member
Отправлено 26 Сентябрь 2008 - 15:15
Report вроде-бы был в архиве.
#15
ILNARus
-
- Posters
- 636 Сообщений:
Advanced Member
Отправлено 26 Сентябрь 2008 - 15:17
да... Google скажет...Winej05.sys
http://research.sunbeltsoftware.com/threat...threatid=316257
-------------------------------------------------
Безопасный Интернет
#16
Sergik644
-
- Posters
- 188 Сообщений:
Member
Отправлено 26 Сентябрь 2008 - 15:25
.Присылайте нам в вирлаб файлы
Не могу, т.к. не имею доступа к ПК. Прислать можно будет только в понедельник.
. Мммммм......., не совсем.У Вашей знакомой, без сомнения, стоит лицензионный KIS 7. Вам надо обратиться в тех поддержку Касперского.
#17
ILNARus
-
- Posters
- 636 Сообщений:
Advanced Member
Отправлено 26 Сентябрь 2008 - 15:27
Сорри, пропустил... из лога Rku
Process: C:Documents and SettingsЕленаРабочий столF%3A%5Czzzz%5Csh6sJ6G4.exe
Process Id: 128
EPROCESS Address: 0x81FA1DA0
что это...
-------------------------------------------------
Безопасный Интернет
Process: C:Documents and SettingsЕленаРабочий столF%3A%5Czzzz%5Csh6sJ6G4.exe
Process Id: 128
EPROCESS Address: 0x81FA1DA0
что это...
-------------------------------------------------
Безопасный Интернет
#18
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 26 Сентябрь 2008 - 15:27
Ну тогда в понедельник шлите :-)
#19
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 26 Сентябрь 2008 - 15:33
РкУ, вероятно...что это...
---
С уважением,
Borka.
#20
Sergik644
-
- Posters
- 188 Сообщений:
Member
Отправлено 29 Сентябрь 2008 - 08:14
C:WINDOWSSystem32IoctlSvc.exe
C:WINDOWSSystem32~.exe
C:WINDOWSSYSTEM32WinCtrl32.dll
Выслал файлы. Номер тикета [drweb.com #616003].
Нашел кроме C:WINDOWSSystem32~.exe.
Посмотрел в Autoruns: Файл не найден, хотя ссылка есть.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
