S_Lord Posted July 16, 2008 Report Share Posted July 16, 2008 Подозрение на mass-mailer, нужна помощь. Не работает служба печати (исчезли принтеры, установить новые не дает) hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
akoK Posted July 16, 2008 Report Share Posted July 16, 2008 'C:\WINDOWS\system32\SAiLicSvr.exe' 'C:\WINDOWS\system32\SAiDownloader.exe' Вам это знакомо? Link to comment Share on other sites More sharing options...
S_Lord Posted July 16, 2008 Author Report Share Posted July 16, 2008 'C:\WINDOWS\system32\SAiLicSvr.exe' 'C:\WINDOWS\system32\SAiDownloader.exe' Вам это знакомо? Да знакомы, но на данный момент их там нет. Link to comment Share on other sites More sharing options...
akoK Posted July 16, 2008 Report Share Posted July 16, 2008 Давайте подготовим такой лог. Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Давайте подготовим такой лог. Лог завершился некоректно (см. рисунок). Лог всеиаки сохранился, но размером 1,7 мег, куда его можно выслать почтой. И еще при запуске система Касперский 7 выдает процесс mass-mailer PID:1176 в файле system32\services.exe, дает только завершить процесс - "процесс завершен в файле system32\spoolsv.exe PID:1980. При сборе последнего лога Касперский выдает процесс Invader PID:4540 при попытке завершить процесс ругается на Ваш файл и так бесконечно. Лог запустил без Касперского, выдает ошибку (см.рисунок) но лог сохраняет. Error.bmp Error.bmp Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Чего-то с утра торможу. Вот лог: sysinfo.rar sysinfo.rar Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Dr.Web выдает services.exe:1176 - Trojan.Spambot.3434 - обезврежен - и так каждый раз после перезагрузки. Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Еще Dr.Web находит C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2\RegUBP2b-1.reg - инфицирован Trojan.StartPage.1505 - при лечении удаляет - и так каждый раз при перезагрузке. Link to comment Share on other sites More sharing options...
akoK Posted July 17, 2008 Report Share Posted July 17, 2008 C:\Program Files\SMDR-2\Loger.exe - это что за программа? 'C:\WINDOWS\system32\SAiLicSvr.exe''C:\WINDOWS\system32\SAiDownloader.exe' они по логам проходят.....зарегистрированны как службы. Search & Destroy - рекомендую деинсталировать....возможны конфликты с Kaspersky AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;QuarantineFile('C:\Program Files\SPAMfighter\Clients\Outlook Express\SFOE0001.dll','');QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\ir_ext_temp_0\AutoPlay\Docs\keyfinder.exe','');QuarantineFile('C:\WINDOWS\system32\jqzgfpy.sys','');QuarantineFile('WgaLogon.dll','');QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe','');QuarantineFile('C:\Program Files\Ares\Ares.exe','');QuarantineFile('c:\windows\system32\spoolsv.exe','');QuarantineFile('c:\windows\system32\services.exe','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Метод научного тыка....самы научный метод. P>S> Вы антивирус отключаете когда делаете логи, IE включено? Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 "C:\Program Files\SMDR-2\Loger.exe - это что за программа?" Программа контроля за дверью (вход и выход по электронному ключу). "Search & Destroy - рекомендую деинсталировать....возможны конфликты с Kaspersky" Никогда проблем не было (с таким набором еще 6 компов). "Вы антивирус отключаете когда делаете логи, IE включено?" При создании логов все отключено кроме IE. Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Письмо отправил. Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Письмо отправил. После полного удаления Касперского и SpyBot - служба принтеров востановилась (появились принтеры), спам-активность (25 порт) исчезла. PS: что-бы это значило?????? Сделаю попытку поставить все заного, о результатах отпишусь. Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Рано радовался, после очередной перезагрузки спам-активность возобнавилась, но служба принтеров осталась доступной. Link to comment Share on other sites More sharing options...
akoK Posted July 17, 2008 Report Share Posted July 17, 2008 (edited) Касперского и SpyBot Они значатся как малосовметимые программы. Хмм http://www.virustotal.com/ru/analisis/dcdc...d820471dc2dd25b Русток? Лью в вирлаб...пусть ковырнут. Edited July 17, 2008 by akoK Link to comment Share on other sites More sharing options...
S_Lord Posted July 17, 2008 Author Report Share Posted July 17, 2008 Стер файл iqzgfpy.sys из папки system32 (убедился, что такого файла на другом компе нет). AVZ метил его красным, но писал что процесс не подозрительный. Три перезагрузки - полет нормальный. Спасибо akoK за поддержку, ну и проге AVZ. Link to comment Share on other sites More sharing options...
akoK Posted July 17, 2008 Report Share Posted July 17, 2008 Подождем ответов от вирлабов, что это было. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now