мой комп рассылает спам

[Hose]

Доброго времени суток.

С месяц наверное завелась какаято гадость на компьютере. NAV с периодичностью гдето раз в неделю начинает выдавать сообщения о том, что заблокировал огромное количество e-mail'ов которыя я пытаюсь послать. Письма эти похоже делает процесс spoolsvv. когда я его убиваю, сообщения прекращаются. Полный скан системы(из защищенного режима) нортон антивирусом, ничего не находит. CureIt находит практически каждый раз пару зараженных trojan.spambot'ом файлов в дирректории WINNT/Temp. Файлы называются примерно 00AD.Tmp. В реестре стандартный регедит не находит записей о spoolsvv. Нестандартный находит в ветке HKLM/...../Run. Удаляю. Через некторое время запись снова появляется.
В один прекрасный момент кто-то запретил запускать файлы с именем explorer.exe. Когда его запускаю Windows сообщает "File not found". Переименовал в Explorer1.exe - запускается.
В защищенном режиме моргает курсор с часиками. Помотрел в процесс експлорере - ктото запускает и убивает процесс IEXPLORE. Методом тыка нашел, что запускает его процесс winlogon, а точнее поток "winsys2f.dll", запускаемый из C:\Documents and Settings\All Users\Documents\Settings.

Кажется симптомы всё.

Компьютер боевой, поэтому удалять(переименовывать) всякие системные dll'ки боюсь. А антивирусы не находят ничего подозрительного.

Надеюсь на Вашу помощь.

[Shu_b]

прислать согласно приложения 2 правил файлы, предварительно собранные в карантин:
AVZ-файл-выполнить скрипт

Цитата:

Код:

begin
  SearchRootkit(true, true);
  QuarantineFile('C:\WINNT\system32\mspmspsv.exe', '');
  QuarantineFile('C:\WINNT\system32\testtestt.exe', '');
  QuarantineFile('c:\winnt\system32\stonedrv.exe', '');
  QuarantineFile('C:\WINNT\RTHDCPL.EXE', '');
  QuarantineFile('ALCMTR.EXE', '');
  QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll','');
  QuarantineFile('C:\WINNT\SYSTEM32\WcesWlgn.dll','');
  QuarantineFile('C:\TempEI4\EI40_\msxml4.cab','');
  QuarantineFile('C:\WINNT\TEMP\arm1963.tmp','');
end.

[Hose]

Файл закачал согласно инструкции.
Файл сохранён как 061130_033238_virus_456e9726ce7b5.zip
Размер файла 710274
MD5 3a74034aa44544950e72776a08013bd6

[Hose]

Сегодня ставил на ночь проверку CureIt. Вот лог:
spoolsvv.exe;C:\Documents and Settings\Ivan1\Local Settings\Temp;Trojan.Spambot;Удален.;
spoolsvv.exe;C:\WINNT\system32;Trojan.Spambot;Удал ен.;
win1E76.tmp;C:\WINNT\Temp;Trojan.Spambot;Удален.;
win6ADB.tmp;C:\WINNT\Temp;Trojan.Spambot;Удален.;

раньше такое делал. Результат был примерно темже. Сейчас впервые нашел spoolsvv.exe;C:\Documents and Settings\Ivan1\Local Settings\Temp
Раньше находил только в C:\WINNT

[Hose]

проблемма все еще актуальна. За 2 дня NAV не замечал никакого спама. Но Explorer.exe по прежнему не открывается.
Заметил такую особенность: в незащищенном режиме висит процесс IEXPLORE. Занимает 1 МB памяти. Стандартный таск менеджер, говорит, что убить его нельзя. нестандартный убивает, но тутже появляется новый IEXPLORE. После того, как в процессе winlogon убил поток winsys2f.dll+1818 IEXPLORE появляться перестал.

[Geser]

Значит повторить логи. НАчиная с пункта 10 в правилах

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены