Решена Мой компьютер - Спам-бот ???

Тема в разделе "Лечение компьютерных вирусов", создана пользователем val674, 30 июл 2010.

Статус темы:
Закрыта.
  1. val674
    Оффлайн

    val674 Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Здравствуйте уважаемые форумчане!!! Для выхода в интернет я пользуюсь услугами оператора скайлинк. После работы приехал домой и обнаружил что интернет не работает, позвонил в тех. поддержку и мне сообщили что меня заблокировали за спам рассылку. Есстественно я к этому делу никакого отношения не имею. Предложили приехать в офис для разблокировки и бла, бла, бла. На компьютере установлена операционная система Windows 7 Максимальная, на тот момент когда заблокировали стоял NOD32 4, без сетевого экрана.

    Мое подозрение что мой компьютер был использован как спам-бот

    После я проверил систему Dr.Web CurIt последней версией на тот момент ничего не обнаружил. Удалил NOD, поставил КИС 2010(с последними актуальными базами скачанными на работе), после проверки были обнаружены два трояна, но не в системных папках.

    Мне пришлось заблокировать эту сим карту и купить новую т.к. в офис ехать для меня еще накладнее обошлось бы.

    Операционную систему я заново не переустанавливал. Сейчас интернет работает, КИС обновляется (правда пока пробная версия). Делал полную проверку системы, ничего не обнаружил. За статистикой трафика в скайлинке трудно следить т.к. списание происходит не сразу. Можно использовать сторонние продукты для подсчета трафика. Но сильного расхода трафика я не заметил.

    Вобщем то у меня такой вопрос: Прав ли я в своих подозрениях, как это проверить, и как избежать этого в будущем. Если это не так подскажите в каком направлении копать, и стоит ли переустановить систему для уверенности.
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Для анализа нам нужны логи.

    [INFO]Тему переношу в лечение.[/INFO]
     
  3. val674
    Оффлайн

    val674 Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Вот логи:
     

    Вложения:

    • info.txt
      Размер файла:
      23,8 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      23,8 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      27,1 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      29,8 КБ
      Просмотров:
      4
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\System32\spdifer_config.exe','');
     QuarantineFile('C:\PROGRA~1\vmntoolbar\vmntoolbar.dll','');
     DeleteFile('C:\PROGRA~1\vmntoolbar\vmntoolbar.dll');
     DelBHO('{A057A204-BACC-4D26-8287-79A187E26987}');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив необходимо загрузить при помощи этой формы:
    1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
    2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
    3. Прикрепите файл карантина и нажмите "Далее".
    4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  5. val674
    Оффлайн

    val674 Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    файл карантина отправил

    Выкладываю лог Malwarebytes' Anti-Malware
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Удалите при помощи MBAM

    Код (Text):
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\Software\Visicom Media (Adware.KeenValue) -> No action taken.
    Больше активного заражения не вижу.
     
    2 пользователям это понравилось.
  7. val674
    Оффлайн

    val674 Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Огромное спасибо akoK, проблему считаю решенной, тему закрытой...
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
Статус темы:
Закрыта.

Поделиться этой страницей