Провайдер сообщил о рассылке спама с моего компа

Юрий1111111111 · 16.06.2010, 21:05

Комп давно ведет себя странно, иногда сам перезагружается при этом перед перезагрузкой на несколько секунд выводится на экран какие-то белые символы как в DOS только на синем фоне. Я после покупки компа Виндоус не переустанавливал. Здесь есть программа для удаленного управления компьютером. Хочу ее удалить, но не могу обнаружить, но возможно она к спам-расслке и не причем. Но уже раз обратился, то помогите удалить и ее тоже, плиз.

То есть суть проблемы в удаленном управлении компьютером, хочу убрать все что может это делать.
Спасибо заранее!
Файлы:
virusinfo_syscure.zip
http://exfile.ru/108291

hijackthis.log
http://exfile.ru/108290

winshelp · 16.06.2010, 21:59

Юрий1111111111.
AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Затем сделайте такой лог http://pchelpforum.ru/showpost.php?p=229799&postcount=7 и пришлите его.

Юрий1111111111 · 17.06.2010, 14:43

Спасибо!
Скрипт выполнил.
Лог сделал, вот файл: http://exfile.ru/108459

winshelp · 17.06.2010, 14:50

Юрий1111111111.
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы.
Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

Код:

69v1xttd.exe -del service pcvvkzz
69v1xttd.exe -del file "C:\WINDOWS\system32\Drivers\pcvvkzz.sys"
69v1xttd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pcvvkzz"
69v1xttd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pcvvkzz"
69v1xttd.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pcvvkzz"
69v1xttd.exe -reboot

Компьютер перезагрузится.
Если во время выполнения вылазят ошибки, не обращаем внимания.

Сделайте новый лог gmer.

01pump · 17.06.2010, 14:50

Юрий1111111111,

После перезагрузки выполните такой скрипт в avz

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('iksysflt');
 DeleteService('f3f925a2');
 DeleteFile('C:\WINDOWS\System32\drivers\f3f925a2.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\iksysflt.sys');
 DeleteFile('C:\Documents and Settings\q\Главное меню\Программы\Автозагрузка\siszyd32.exe');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки:

Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip

Юрий1111111111 · 17.06.2010, 17:10

Выполнил последовательно обе рекомендации.

winshelp
Выполнил указанные действия. Перед началом работы Gmer отключил модем, как было указано. После окончания работы и нажатия кнопки сохранения результатов комп завис, через минут 5 я вызвал диспетчер задач, увидел что перегружен процессор (кор 2 дуо), завершил один из процессов svchost.exe - который ел ресурсы. После чего комп снова начал работать и лог Gmer сохранился. Почему-то при перезагрузке комп зависает на этапе "сохранение параметров Виндоус" и висит пока не выключить его кнопкой отключения питания.
Лог Gmer: http://exfile.ru/108512

01pump
Скрипт выполнил, перезагрузка автоматически завершена не была, комп завис с чистой картинкой рабочего стола. Перезагрузил кнопкой выключения питания. Выполнил стандартный скрипт №2.
Файл virusinfo_syscheck.zip: http://exfile.ru/108522

01pump · 17.06.2010, 17:14

Юрий1111111111,

скачайте http://exfile.ru/108233 и распакуйте на диск С вот так C:\TDSSKiller.exe
Затем запустите и по окончании пришлите лог.

Юрий1111111111 · 17.06.2010, 18:05

01pump
Выполнил. На всякий случай, вдруг кто не разберется. Там программа выдает запрос на удаление чего-то и ждет ответа, надо ввести "y" и нажать Enter, насколько я помню, вроде, из школьного курса информатики )))
Лог: http://exfile.ru/108540

01pump · 17.06.2010, 18:11

Юрий1111111111,

Выполните такой скрипт в avz

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\pcvvkzz');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet003\Services\pcvvkzz');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet001\Services\pcvvkzz');
DeleteService('pcvvkzz');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\pcvvkzz');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\pcvvkzz');
RegKeyDel('HKLM','SYSTEM\ControlSet001\Services\pcvvkzz');
DeleteFile('C:\WINDOWS\system32\Drivers\pcvvkzz.sys');
BC_DeleteSvc('pcvvkzz');
BC_ImportALL;
ExecuteSysClean;
BC_Activate; 
RebootWindows(true);
end.

После перезагрузки выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip

Юрий1111111111 · 17.06.2010, 18:33

Выполнил скрипт. Компьютер перезагрузился уже сам. Выполнил стандартный скрипт №2.
virusinfo_syscheck.zip: http://exfile.ru/108550

01pump · 17.06.2010, 18:38

Юрий1111111111,

Эту прогу скачайте http://anti-virus.by/en/download_arkit_beta.php?

Запустите программу ;
Включите режим расширенного мониторинга через пункт меню ArKit Driver -> Install Extended Driver (на запрос о перезагрузке ответьте утвердительно);
После перезагрузки запустите программу ;
В открывшемся окне нажмите на копку Start и дождитесь окончания проверки;
После окончания проверки сохраните отчет о проверке через пункт меню File -> Save Zipped Log…;
Пришлите архив;

Юрий1111111111 · 17.06.2010, 19:16

Выполнил.
http://exfile.ru/108564

snifer67 · 17.06.2010, 19:21

1. Загрузитесь с LiveCD.
2. Скопируйте C:\WINDOWS\System32\Drivers\pcvvkzz.sys в другую папку и переименуйте, а в исходном месте файл удалите.
3. Загрузитесь в нормальном режиме.
4. Отключите антивирус.
5. Запакуйте ранее скопированный файл с паролем virus и отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.
6. Сделайте новый лог vba.

01pump · 17.06.2010, 21:45

Юрий1111111111,

LiveCD скачайте здесь http://pchelpforum.ru/showpost.php?p=69244&postcount=2 И выполните процедуру описанную snifer67

Если скачаете LiveCD со встроенным антивирусом то можете им проверить полностью комп.

Юрий1111111111 · 17.06.2010, 23:55

snifer67, я рад, что Вы очень хорошо обо мне подумали )))))))
01pump, спасибо за дополнение, потому что уже почти отчаялся ))
Все сделал, архив отправил в лабораторию Касперского. Ждем ответа. Вообще я думал, что Линукс поставить - это сложно, до вчера/сегодня )))))

---------- Добавлено в 21:55 ---------- Предыдущее сообщение было написано в 21:47 ----------

Ответили:
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

virus - Rootkit.Win32.Bubnix.au

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского

16.06.2010, 21:05	#1 (ссылка)
Юрий1111111111 Новичок Регистрация: 16.06.2010 Сообщений: 7 Репутация: 0	Провайдер сообщил о рассылке спама с моего компа Комп давно ведет себя странно, иногда сам перезагружается при этом перед перезагрузкой на несколько секунд выводится на экран какие-то белые символы как в DOS только на синем фоне. Я после покупки компа Виндоус не переустанавливал. Здесь есть программа для удаленного управления компьютером. Хочу ее удалить, но не могу обнаружить, но возможно она к спам-расслке и не причем. Но уже раз обратился, то помогите удалить и ее тоже, плиз. То есть суть проблемы в удаленном управлении компьютером, хочу убрать все что может это делать. Спасибо заранее! Файлы: virusinfo_syscure.zip http://exfile.ru/108291 hijackthis.log http://exfile.ru/108290

17.06.2010, 14:50	#4 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Юрий1111111111. Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run) Код: 69v1xttd.exe -del service pcvvkzz 69v1xttd.exe -del file "C:\WINDOWS\system32\Drivers\pcvvkzz.sys" 69v1xttd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pcvvkzz" 69v1xttd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pcvvkzz" 69v1xttd.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pcvvkzz" 69v1xttd.exe -reboot Компьютер перезагрузится. Если во время выполнения вылазят ошибки, не обращаем внимания. Сделайте новый лог gmer. Последний раз редактировалось 01pump; 17.06.2010 в 14:57.

17.06.2010, 14:50	#5 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Юрий1111111111, После перезагрузки выполните такой скрипт в avz Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('iksysflt'); DeleteService('f3f925a2'); DeleteFile('C:\WINDOWS\System32\drivers\f3f925a2.sys'); DeleteFile('C:\WINDOWS\system32\drivers\iksysflt.sys'); DeleteFile('C:\Documents and Settings\q\Главное меню\Программы\Автозагрузка\siszyd32.exe'); ExecuteSysClean; RebootWindows(true); end. После перезагрузки: Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip Последний раз редактировалось 01pump; 17.06.2010 в 14:57.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Посмотрите плиз результаты проверки моего компа на вирусы(логи с вашей утилиты)	3aj4enyw	Безопасность	56	14.12.2010 05:10
Чем защититься от Спама на Зелебобе	Neto-netak	Безопасность	3	05.12.2010 20:45
рассылка спама	gaallo	Безопасность	7	21.09.2010 17:53
Аккуант не доступен за рассылку спама 2	Юльчик	Безопасность	7	20.09.2010 00:57
Как узнать какой у меня провайдер?	Т@мплиер	Интернет и сети	3	11.09.2010 23:28
Модем сообщил об ошибке. А потом не сообщил.	SVGuss	Интернет и сети	0	09.08.2010 10:05
Делают скрины с моего компа	Mexikanskoe_Tyshkano	Безопасность	54	31.03.2010 04:37
Как избавиться от исходящего спама?	Yulia	Безопасность	15	21.01.2010 14:39
Как мой хостинг-провайдер узнает, что домен именно мой?	Jon	Домены	6	24.10.2009 19:34
У моего компа появилось чувство юмора	voipp	Неисправности, настройка	14	22.09.2009 22:24
Провайдер MNS (г.Санкт-Петербург) помощь	Luckashoff	Интернет и сети	0	05.08.2009 10:26
ДЛЯ ЦЕНИТЕЛЕЙ СПАМА И ФЛУДА!!!!!!!! vProFlood	lamero	Реклама, объявления	0	15.11.2008 17:09

17.06.2010, 14:43	#3 (ссылка)
Юрий1111111111 Новичок Регистрация: 16.06.2010 Сообщений: 7 Репутация: 0	Спасибо! Скрипт выполнил. Лог сделал, вот файл: http://exfile.ru/108459

17.06.2010, 17:10	#6 (ссылка)
Юрий1111111111 Новичок Регистрация: 16.06.2010 Сообщений: 7 Репутация: 0	Выполнил последовательно обе рекомендации. winshelp Выполнил указанные действия. Перед началом работы Gmer отключил модем, как было указано. После окончания работы и нажатия кнопки сохранения результатов комп завис, через минут 5 я вызвал диспетчер задач, увидел что перегружен процессор (кор 2 дуо), завершил один из процессов svchost.exe - который ел ресурсы. После чего комп снова начал работать и лог Gmer сохранился. Почему-то при перезагрузке комп зависает на этапе "сохранение параметров Виндоус" и висит пока не выключить его кнопкой отключения питания. Лог Gmer: http://exfile.ru/108512 01pump Скрипт выполнил, перезагрузка автоматически завершена не была, комп завис с чистой картинкой рабочего стола. Перезагрузил кнопкой выключения питания. Выполнил стандартный скрипт №2. Файл virusinfo_syscheck.zip: http://exfile.ru/108522

17.06.2010, 17:14	#7 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Юрий1111111111, скачайте http://exfile.ru/108233 и распакуйте на диск С вот так C:\TDSSKiller.exe Затем запустите и по окончании пришлите лог.

17.06.2010, 18:05	#8 (ссылка)
Юрий1111111111 Новичок Регистрация: 16.06.2010 Сообщений: 7 Репутация: 0	01pump Выполнил. На всякий случай, вдруг кто не разберется. Там программа выдает запрос на удаление чего-то и ждет ответа, надо ввести "y" и нажать Enter, насколько я помню, вроде, из школьного курса информатики ))) Лог: http://exfile.ru/108540

17.06.2010, 18:33	#10 (ссылка)
Юрий1111111111 Новичок Регистрация: 16.06.2010 Сообщений: 7 Репутация: 0	Выполнил скрипт. Компьютер перезагрузился уже сам. Выполнил стандартный скрипт №2. virusinfo_syscheck.zip: http://exfile.ru/108550

17.06.2010, 18:38	#11 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Юрий1111111111, Эту прогу скачайте http://anti-virus.by/en/download_arkit_beta.php? Запустите программу ; Включите режим расширенного мониторинга через пункт меню ArKit Driver -> Install Extended Driver (на запрос о перезагрузке ответьте утвердительно); После перезагрузки запустите программу ; В открывшемся окне нажмите на копку Start и дождитесь окончания проверки; После окончания проверки сохраните отчет о проверке через пункт меню File -> Save Zipped Log…; Пришлите архив;

17.06.2010, 19:16	#12 (ссылка)
Юрий1111111111 Новичок Регистрация: 16.06.2010 Сообщений: 7 Репутация: 0	Выполнил. http://exfile.ru/108564

17.06.2010, 19:21	#13 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	1. Загрузитесь с LiveCD. 2. Скопируйте C:\WINDOWS\System32\Drivers\pcvvkzz.sys в другую папку и переименуйте, а в исходном месте файл удалите. 3. Загрузитесь в нормальном режиме. 4. Отключите антивирус. 5. Запакуйте ранее скопированный файл с паролем virus и отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. 6. Сделайте новый лог vba.

17.06.2010, 21:45	#14 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Юрий1111111111, LiveCD скачайте здесь http://pchelpforum.ru/showpost.php?p=69244&postcount=2 И выполните процедуру описанную snifer67 Если скачаете LiveCD со встроенным антивирусом то можете им проверить полностью комп.

17.06.2010, 23:55	#15 (ссылка)
Юрий1111111111 Новичок Регистрация: 16.06.2010 Сообщений: 7 Репутация: 0	snifer67, я рад, что Вы очень хорошо обо мне подумали ))))))) 01pump, спасибо за дополнение, потому что уже почти отчаялся )) Все сделал, архив отправил в лабораторию Касперского. Ждем ответа. Вообще я думал, что Линукс поставить - это сложно, до вчера/сегодня ))))) ---------- Добавлено в 21:55 ---------- Предыдущее сообщение было написано в 21:47 ---------- Ответили: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. virus - Rootkit.Win32.Bubnix.au В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами. С уважением, Лаборатория Касперского

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)