Компьютер рассылает спам

**AVinogradov** · 21.04.2009, 12:12

Здраствуйте.

Помогите, пожалуйста, добороть гадость. В безопасном режиме прошелся по компьютеру утилитами CureIT и AVPTool. Первая нашла:
- Trojan.Download.29459
- BackDoor.IRC.Nite.18
- Trojan.Download.33838
- Trojan.Botnetlog.3
Вторая:
- Backdoor.Win32.Agent.tzl
- Trojan-PSW.Win32.Agent.kyw
- Backdoor.Win32.KeyStart.ch
- Trojan.Win32.Inject.sph
Все эти файлы были удалены. После этого в безопасном режиме эти утилиты больше ничего не обнаруживают. Тем не менее, судя по netstat -a компьютер занимается рассылкой спама. Следуя инструкции, прикладываю отчеты AVZ и HiJackThis.

Заранее благодарю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 21.04.2009, 13:08

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\aliserv.sys','');
 DeleteFile('c:\windows\system32\drivers\aliserv.sys');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**AVinogradov** · 21.04.2009, 13:51

Прикладываю обновленные логи. Добавлю, что также на компьютере не возможно запустить avz.exe (был переименован в !avz.exe), HiJackThis.exe (был переименован в HIJACKTH.EXE), regedit.exe и regedt32.exe. Т.е. вирус смотрит на эти файлы по имени и после переименования запуск работает.

**Rene-gad** · 21.04.2009, 13:55

10.1.1.13 TWD_SERVER - Ваше? Если нет - удалите из hosts.
Выполните проверку на файловые вирусы: http://virusinfo.info/showthread.php?t=15927

**AVinogradov** · 21.04.2009, 17:35

Да, TWD - мой. Проверку компьютера в безопасном режиме уже проводили. На данный момент ни CureIT ни AVPTool на нем не видят. Тем не менее, спам рассылается и regedt32 не запустить.

Добавлено через 2 часа 13 минут

Итог на данный момент:
Физически отключил ЖД и подключил к другой раб. станции. Утилита CureIT обнаружила следующее:
c:\windows\system32\alil.dll - Trojan.Msliksur.6
c:\windows\system32\drivers\ndis.sys - Trojan.NtRootKit.2670
c:\windows\system32\dllcache\ndis.sys - Trojan.NtRootKit.2670

Я так понимаю, ndis.sys жизненно важен для WinXP, поэтому заменю его с чистой раб. станции.
Сейчас запущен AVPTool. Если что обнаружит сверх найденного - соообщу.

Добавлено через 1 час 5 минут

Утилита AVPTool более ничего не нашла. Рассылка спама прекратилась, но при этом, установить NOD32 или запустить regedit/regedt32 не получается.