S_Lord Опубликовано 16 июля, 2008 Жалоба Поделиться Опубликовано 16 июля, 2008 Подозрение на mass-mailer, нужна помощь. Не работает служба печати (исчезли принтеры, установить новые не дает) hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 июля, 2008 Жалоба Поделиться Опубликовано 16 июля, 2008 'C:\WINDOWS\system32\SAiLicSvr.exe' 'C:\WINDOWS\system32\SAiDownloader.exe' Вам это знакомо? Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 16 июля, 2008 Автор Жалоба Поделиться Опубликовано 16 июля, 2008 'C:\WINDOWS\system32\SAiLicSvr.exe' 'C:\WINDOWS\system32\SAiDownloader.exe' Вам это знакомо? Да знакомы, но на данный момент их там нет. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 июля, 2008 Жалоба Поделиться Опубликовано 16 июля, 2008 Давайте подготовим такой лог. Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Давайте подготовим такой лог. Лог завершился некоректно (см. рисунок). Лог всеиаки сохранился, но размером 1,7 мег, куда его можно выслать почтой. И еще при запуске система Касперский 7 выдает процесс mass-mailer PID:1176 в файле system32\services.exe, дает только завершить процесс - "процесс завершен в файле system32\spoolsv.exe PID:1980. При сборе последнего лога Касперский выдает процесс Invader PID:4540 при попытке завершить процесс ругается на Ваш файл и так бесконечно. Лог запустил без Касперского, выдает ошибку (см.рисунок) но лог сохраняет. Error.bmp Error.bmp Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Чего-то с утра торможу. Вот лог: sysinfo.rar sysinfo.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Dr.Web выдает services.exe:1176 - Trojan.Spambot.3434 - обезврежен - и так каждый раз после перезагрузки. Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Еще Dr.Web находит C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegUBP2b-1.reg - инфицирован Trojan.StartPage.1505 - при лечении удаляет - и так каждый раз при перезагрузке. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 июля, 2008 Жалоба Поделиться Опубликовано 17 июля, 2008 C:\Program Files\SMDR-2\Loger.exe - это что за программа? 'C:\WINDOWS\system32\SAiLicSvr.exe''C:\WINDOWS\system32\SAiDownloader.exe' они по логам проходят.....зарегистрированны как службы. Search & Destroy - рекомендую деинсталировать....возможны конфликты с Kaspersky AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;QuarantineFile('C:\Program Files\SPAMfighter\Clients\Outlook Express\SFOE0001.dll','');QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\ir_ext_temp_0\AutoPlay\Docs\keyfinder.exe','');QuarantineFile('C:\WINDOWS\system32\jqzgfpy.sys','');QuarantineFile('WgaLogon.dll','');QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe','');QuarantineFile('C:\Program Files\Ares\Ares.exe','');QuarantineFile('c:\windows\system32\spoolsv.exe','');QuarantineFile('c:\windows\system32\services.exe','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Метод научного тыка....самы научный метод. P>S> Вы антивирус отключаете когда делаете логи, IE включено? Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 "C:\Program Files\SMDR-2\Loger.exe - это что за программа?" Программа контроля за дверью (вход и выход по электронному ключу). "Search & Destroy - рекомендую деинсталировать....возможны конфликты с Kaspersky" Никогда проблем не было (с таким набором еще 6 компов). "Вы антивирус отключаете когда делаете логи, IE включено?" При создании логов все отключено кроме IE. Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Письмо отправил. Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Письмо отправил. После полного удаления Касперского и SpyBot - служба принтеров востановилась (появились принтеры), спам-активность (25 порт) исчезла. PS: что-бы это значило?????? Сделаю попытку поставить все заного, о результатах отпишусь. Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Рано радовался, после очередной перезагрузки спам-активность возобнавилась, но служба принтеров осталась доступной. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 июля, 2008 Жалоба Поделиться Опубликовано 17 июля, 2008 (изменено) Касперского и SpyBot Они значатся как малосовметимые программы. Хмм http://www.virustotal.com/ru/analisis/dcdc...d820471dc2dd25b Русток? Лью в вирлаб...пусть ковырнут. Изменено 17 июля, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Стер файл iqzgfpy.sys из папки system32 (убедился, что такого файла на другом компе нет). AVZ метил его красным, но писал что процесс не подозрительный. Три перезагрузки - полет нормальный. Спасибо akoK за поддержку, ну и проге AVZ. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 июля, 2008 Жалоба Поделиться Опубликовано 17 июля, 2008 Подождем ответов от вирлабов, что это было. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти