S_Lord Опубликовано 16 июля, 2008 Жалоба Поделиться Опубликовано 16 июля, 2008 Подозрение на mass-mailer, нужна помощь. Не работает служба печати (исчезли принтеры, установить новые не дает) hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 июля, 2008 Жалоба Поделиться Опубликовано 16 июля, 2008 'C:\WINDOWS\system32\SAiLicSvr.exe' 'C:\WINDOWS\system32\SAiDownloader.exe' Вам это знакомо? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 16 июля, 2008 Автор Жалоба Поделиться Опубликовано 16 июля, 2008 'C:\WINDOWS\system32\SAiLicSvr.exe' 'C:\WINDOWS\system32\SAiDownloader.exe' Вам это знакомо? Да знакомы, но на данный момент их там нет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 июля, 2008 Жалоба Поделиться Опубликовано 16 июля, 2008 Давайте подготовим такой лог. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Давайте подготовим такой лог. Лог завершился некоректно (см. рисунок). Лог всеиаки сохранился, но размером 1,7 мег, куда его можно выслать почтой. И еще при запуске система Касперский 7 выдает процесс mass-mailer PID:1176 в файле system32\services.exe, дает только завершить процесс - "процесс завершен в файле system32\spoolsv.exe PID:1980. При сборе последнего лога Касперский выдает процесс Invader PID:4540 при попытке завершить процесс ругается на Ваш файл и так бесконечно. Лог запустил без Касперского, выдает ошибку (см.рисунок) но лог сохраняет. Error.bmp Error.bmp Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Чего-то с утра торможу. Вот лог: sysinfo.rar sysinfo.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Dr.Web выдает services.exe:1176 - Trojan.Spambot.3434 - обезврежен - и так каждый раз после перезагрузки. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Еще Dr.Web находит C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegUBP2b-1.reg - инфицирован Trojan.StartPage.1505 - при лечении удаляет - и так каждый раз при перезагрузке. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 июля, 2008 Жалоба Поделиться Опубликовано 17 июля, 2008 C:\Program Files\SMDR-2\Loger.exe - это что за программа? 'C:\WINDOWS\system32\SAiLicSvr.exe''C:\WINDOWS\system32\SAiDownloader.exe' они по логам проходят.....зарегистрированны как службы. Search & Destroy - рекомендую деинсталировать....возможны конфликты с Kaspersky AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;QuarantineFile('C:\Program Files\SPAMfighter\Clients\Outlook Express\SFOE0001.dll','');QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\ir_ext_temp_0\AutoPlay\Docs\keyfinder.exe','');QuarantineFile('C:\WINDOWS\system32\jqzgfpy.sys','');QuarantineFile('WgaLogon.dll','');QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe','');QuarantineFile('C:\Program Files\Ares\Ares.exe','');QuarantineFile('c:\windows\system32\spoolsv.exe','');QuarantineFile('c:\windows\system32\services.exe','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Метод научного тыка....самы научный метод. P>S> Вы антивирус отключаете когда делаете логи, IE включено? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 "C:\Program Files\SMDR-2\Loger.exe - это что за программа?" Программа контроля за дверью (вход и выход по электронному ключу). "Search & Destroy - рекомендую деинсталировать....возможны конфликты с Kaspersky" Никогда проблем не было (с таким набором еще 6 компов). "Вы антивирус отключаете когда делаете логи, IE включено?" При создании логов все отключено кроме IE. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Письмо отправил. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Письмо отправил. После полного удаления Касперского и SpyBot - служба принтеров востановилась (появились принтеры), спам-активность (25 порт) исчезла. PS: что-бы это значило?????? Сделаю попытку поставить все заного, о результатах отпишусь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Рано радовался, после очередной перезагрузки спам-активность возобнавилась, но служба принтеров осталась доступной. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 июля, 2008 Жалоба Поделиться Опубликовано 17 июля, 2008 (изменено) Касперского и SpyBot Они значатся как малосовметимые программы. Хмм http://www.virustotal.com/ru/analisis/dcdc...d820471dc2dd25b Русток? Лью в вирлаб...пусть ковырнут. Изменено 17 июля, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
S_Lord Опубликовано 17 июля, 2008 Автор Жалоба Поделиться Опубликовано 17 июля, 2008 Стер файл iqzgfpy.sys из папки system32 (убедился, что такого файла на другом компе нет). AVZ метил его красным, но писал что процесс не подозрительный. Три перезагрузки - полет нормальный. Спасибо akoK за поддержку, ну и проге AVZ. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 июля, 2008 Жалоба Поделиться Опубликовано 17 июля, 2008 Подождем ответов от вирлабов, что это было. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.