System rozsyła spam

Dla specjalistów Bezpieczeństwo
#1

Witam,

Podczas przeglądania internetu, zaraziłem się jakimś robakiem. Kilkanaście sekund po podłączeniu komputera do sieci internetowej, system zaczyna rozsyłać spam. Widzę to, ponieważ Norton sprawdza każdą wysłaną wiadomość skanując ją i z tego powodu w pasku traya mnożą mi się ikony Nortona.

W programie pocztowym nie ma żadnego śladu po wysłanych wiadomościach.

Skanowałem komputer w trybie awaryjnym Nortonem, jednak nic nie znajdował. Podczas tych kilku dni kiedy byłem zarażony, Antywirus znalazł 5 wirusów - 2 trojany, 2 downloadery i jakiegoś bloodhounda.

Zamieszczam log z hijackthis oraz screen z Nortona ze znalezionych wirusów.

Prawdopodobnie zostanę poproszony o użycie ComboFixa, jednak chciałbym tego uniknąć jeśli będzie miało to jakiś negatywny wpływ na działanie mojego komputera lub dane.

Log z hijackthis: http://wklejto.pl/35784

Screen z Nortona: http://i39.tinypic.com/fna3i0.jpg

Proszę o pomoc.

#2

Przeskanuj kompa jakimś innym antywirem:

Naprzykład MKS Online: http://www.mks.com.pl/skaner/ (musisz otworzyć w Internet Explorer)

#3

:arrow: Sfiksuj w HijackThis

Pobierasz ComboFix , ale nie uruchamiasz go . Tworzysz dokument tekstowy o nazwie CFScript. Zapisujesz w nim

.

Zapisujesz go obok ComboFix’a . Przeciągasz CFScript na ikonke ComboFix i upuszczasz . Ma się rozpocząć usuwanie . (Tak jak na rysunku)

CFScript-8a-4.gif

Daj log z usuwania

#4

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Pobierz Avenger i uruchom.

Skopiuj ten tekst:

Folders to delete:

C:\Program Files\AskBarDis

W oknie Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz do przejrzenia plik C:\avenger.txt

Daj logi z OTL.

#5

Wpisy zostały naprawione, avenger pomyślnie usunął folder.

Log z OTL:

http://wklejto.pl/35787

#6

Do sprawdzenia na http://www.virustotal.com/pl/ pliki

Pokaż raport.

Wklej w OTL

Do pokazania log z usuwania, nowy log z OTL i log z gmer.

http://www.gmer.net/

#7

Powyższe pliki są czyste, jednak zeskanowałem komputer kasperskym online i wykrył 4 zagrożenia i 12 zainfekowanych plików. Oto wirusy:

Trojan-Downloader.HTML.Agent.km

Trojan.Win32.Zapchast.uy

Trojan-Spy.HTML.Usbankfraud.i

Trojan-Spy.HTML.Citifraud.ae

Jak sobie z nimi poradzić?

#8

Miałeś wykonać poprzednie instrukcje.

To jest nieważne. Jakby już to masz podać w jakich plikach to znalazł i ścieżkę dostępu do nich. Log najlepiej.

#9

Oto log:

http://wklejto.pl/35970

#10

Czy spam dalej jest rozsyłany? Wklej nowy log z OTL bo czasem ten plik nie schodzi od razu.

Co do loga z Kasperskiego to jeden wirus w przywracaniu systemu (wyłącz na chwilę przywracanie systemu), reszta wydaje się być w mailach, może w załącznikach.

#11

Oto log z usuwania z OTL:

http://wklejto.pl/35977

Oto log z późniejszego skanowania:

http://wklejto.pl/35978

Kiedy próbuję zrobić skan gmerem, pojawia się takie oto okienko (w tle zaznaczony na czerwono wspomniany wcześniej plik):

http://i41.tinypic.com/wv60k9.jpg

Oczywiście klikam Tak, i po kilku sekundach skanowania pojawia się okienko z przyciskiem “nie wysyłaj”. Skanowanie nie może zostać dokończone.

Spam nadal jest rozsyłany :confused:

#12

OTL jednak tego nie usunął. No to Avenger’em, bo zapomniałem, że nie chcesz przez ComboFix

http://swandog46.geekstogo.com/avenger.exe

Wklej do niego

Klikasz Execute. Pokaż log z usuwania i nowy z OTL.

#13

Jesteś pewien, że to ten proces za wszystko odpowiada?

Usunąłem Nortona, kupiłem Kaspersky Internet Security i zainstalowałem. Ale co z tego, jeśli nie mogę na nim nic zrobić? Ochrona sama się wyłącza, aktualizacja bazy wirusów nie jest możliwa, skanowania systemu również nie można wykonać. Nie jestem pewien czy to przez nortona czy przez tego wirusa (miałem kiedyś taką sytuację na innym komputerze, że po usunięciu nortona kaspersky nie działał poprawnie).

Zdecydowałem się w końcu na ComboFix’a. Oto log:

http://wklejto.pl/36055

#14

Tak, ten proces za wszystko odpowiada. Wg logu z gmera to ukrywał siebie jak i systemowy svchost, bo był pod niego podczepiony i to on wysyłał spam.

Tyle, że tutaj praktycznie nic już nie widać.

Wygląda na to, że Avenger usunął usługę ale pliku już nie.

Wklej do Avenger’a

Execute. Po tej operacji pokaż log z gmer i nowy z OTL.

#15

No tak… właściciel zarażonego komputera przywrócił stan partycji systemowej sprzed pół roku. Kaspersky dał się zainstalować poprawnie i podczas skanowania nic nie wykrył, nawet tych plików zarażonych na innych dyskach.

Bardzo dziękuję za pomoc :slight_smile: