Собственно PC начал подлагивать. Один раз после перезагрузки началась раасылка спама с моей машины

Не хватет лога AVZ:
---
5. Выполните сканирование системы при помощи AVZ, для этого нажмите на кнопку пуск сразу после запуска программы.
---

Протокол антивирусной утилиты AVZ версии 4.12
Сканирование запущено в 16.01.2006 18:02:28
Загружена база: 19435 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.01.2006 10:46
Загружены микропрограммы эвристики: 357
Загружены цифровые подписи системных файлов: 47141
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B180)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552180
KiST = 80501030 (284)
Функция ZwConnectPort (1F) перехвачена (8059841E->8590F6E8), перехватчик не определен
Функция ZwCreateKey (29) перехвачена (80618BDA->F7410B3A), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8061941A->849BAA16), перехватчик не определен
Функция ZwEnumerateValueKey (49) перехвачена (80619684->849BAABA), перехватчик не определен
Функция ZwOpenKey (77) перехвачена (80619F70->F7410A18), перехватчик sptd.sys
Функция ZwQueryDirectoryFile (91) перехвачена (8056DF2E->849BA532), перехватчик не определен
Функция ZwQueryKey (A0) перехвачена (8061A294->F74110C0), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (80616C94->F7410F58), перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (8061729A->F7411148), перехватчик sptd.sys
Проверено функций: 284, перехвачено: 9, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 34
Количество загруженных модулей: 365
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\KIKUNG\Local Settings\Temporary Internet Files\Content.IE5\CLEVOH6B\jimm-0.4.3[1].zip Invalid file - not a PKZip file
C:\Documents and Settings\KIKUNG\Local Settings\Temporary Internet Files\Content.IE5\SXAV4HUB\jimm-0.4.3[1].zip Invalid file - not a PKZip file
C:\Documents and Settings\user\Local Settings\Temp\F.tmp >>>>> Trojan-Downloader.Win32.Agent.aav
C:\Documents and Settings\user\Local Settings\Temp\svchst.exe >>>>> Trojan-Downloader.Win32.PassAlert.m
E:\Den\Dendy\Teenage Mutant Ninja Turtles Tournament Fighters (U).zip Invalid file - not a PKZip file
E:\RECYCLER\S-1-5-21-1060284298-1202660629-1708537768-1005\Dc530.zip Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Stardock\Object Desktop\ThemeManager\WBlind.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\ThemeManager\WBlind.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 42 TCP портов и 26 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 292525, извлечено из архивов: 241701, найдено вредоносных программ 2
Сканирование завершено в 16.01.2006 18:54:21
Сканирование длилось 00:51:52

ну и в чем вопрос ?
лечитесь.
включайте лечение в AVZ и вперед...
ну а потом посмотрим что останется ;)

Там, вообще-то, ничего особенного не видать, за исключением пары троянов в Temp другого пользователя. Но эти вроде бы не из тех, что спам рассылают.
Есть ещё пара файлов, которые меня засмущали:
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\system32\dcom_12.dll
Их надо прислать, как написано в правилах.
А вообще-то имеет смысл прислать всё, что в исследовании AVZ выделено ярким фоном. Что безопасное - попадёт в список безопасных и перестанет отсвечивать, а если есть что-то вредное, будет детектироваться.

Есть ещё пара файлов, которые меня засмущали:
C:\WINDOWS\system32\drivers\i386p.sys
C:\WINDOWS\system32\dcom_12.dll
Их надо прислать, как написано в правилах.

Я бы попросил поискать и если таковые найдутся - добавить в посылку
fldrsys.dll
sndmixex.dl

3 из тех, что просили прислать я удалил, т.к. не нашел по узанным адресам... dcom_12.dll таинствнно исчез.

Другие фаил я постораюсь в ближайшее время прислать.

3 из тех, что просили прислать я удалил, т.к. не нашел по узанным адресам...
что-то я не вкуриваю... как можно "удалить, т.к. не нашел"???

Посмотрел пути в логе хаиджэка, отправился, а там указанных фаилов почем-то не оказалось (отображение скытых аило включено)

ЗЫ проблема появилась после появления secure32.htm - его вроде удалил

Проваидер отключил меня от сети пару дней назад из-за спама :-\

С помощью утилиты AVZ , связанной с ядром, нашел i386p.sys, но в папке ...system32\drivers его нет, hijack тоже больше не видит. Можно поместить в карантин или выгрузить его?

С помощью утилиты AVZ , связанной с ядром, нашел i386p.sys, но в папке ...system32\drivers его нет, hijack тоже больше не видит. Можно поместить в карантин или выгрузить его?
сперва в карантин, потом выгрузить из памяти. после перезагрузки убедитесь, что он не появился снова.

Вернулся обратно, проделал туже операцию

Похоже у меня Spambot, дейсвует либо через Symantec Antivirus, либо через Windows Messenger, такой вопрос - через что именно? Dr. Web не распознает :(

i385p.sys сидит в ядре, как от него можно избавиться???

i385p.sys сидит в ядре, как от него можно избавиться???
Был i386p.sys. Имя сменил? ;)
Файл скопируйте в карантин и вышлите в архиве с паролем virus на [email protected]

Имя не сменил - я опечатался :)

Письмо послал!

Отследил, что спам идет от фаила ccapp.exe, послать?

Можно, но это скорее всего часть NAV, которая перехватывает соединения гада, рассылающего спам.

Короче давай новые логи, а то не понятно что удалил а что нет

Выкладываю

Ого, остатки как минимум от 3 антивирусов... Еще бы не тормозил.
Кроме того, остался C:\WINDOWS\system32\drivers\i386p.sys его нужно прислать нам, а потом удалить.

уже посылал.

На момент начала торможения был только Symantec :)

i386p.sys удалил? Проблемы остались или нет?

Удаляю, а он заново появляется :(

c:\program files\messenger\msmsgs.exe вот этот файл нужно прислать

посылаю

А так же пришли
c:\program files\msn messenger\msnmsgr.exe

А i386p.sys когда появляется, сразу или через время?

Послал. Появляется после перезагрузки, но в папке его не видно. После того, как драивер удаляем с помощью АВЗ, он появляется в папке, удаляю оттуда. Перезагрузка - появился заново.

Как делаю:

Включаю АВЗ --- Модули пространственного ядра --- Добавляю в карантин --- Диспетчер служб и драиверов --- Копирую в карантин --- Останавливаю драивер --- Удаляю его --- Удаляю из папки C:\WINDOWS\system32\drivers

To Geser
i386p.sys пришел 20 января. Ответ лаборатории Dr.Web:
Trojan.Spambot

To KIKUNG
Востановление системы отключили?

Да!

1. Файл не пришел.
2. Попробуй после удаления i386p.sys сделать лог исследования системы АВЗ. Может он прячет что-то.
И еще нужны файлы:
sptd.sys
C:\Program Files\Stardock\Object Desktop\ThemeManager\WBlind.dll

Посылаю

sptd.sys никак не тронуть - пишет, что используется. Пробовал выключить через АВЗ - никакого результата.

О, что-то интересное появилось.
Пришли
C:\DOCUME~1\user\LOCALS~1\Temp\CmdLineExt02.dll
msctl32.dll
C:\WINDOWS\system32\symsvcsa.exe

sptd.sys в защищённом режиме тоже скопировать не выходит?

О, что-то интересное появилось.
Пришли
C:\DOCUME~1\user\LOCALS~1\Temp\CmdLineExt02.dll
msctl32.dll
C:\WINDOWS\system32\symsvcsa.exe

конечно, интересное. msctl32.dll - это и есть подбрасывальщик i386p.sys

конечно, интересное. msctl32.dll - это и есть подбрасывальщик i386p.sys
Интересно, а в предыдущем логе его не было. Драйвер его маскирует что-ли?

Насчет sptd.sys - разобрался - это был от Вирутального ROMa :)

В любом случае я Вам его посылаю все-таки!

C:\WINDOWS\system32\symsvcsa.exe не нашел

msctl32.dll пока на всякий случаи выгрузил, но если надо могу обратно засунуть, сам фаил у меня остался.

msctl32.dll - SpamTool.Win32.Mailbot.ad его нужно удалить, а потом прибить i386p.sys На этом всё длжно закончиться
CmdLineExt02.dll отправил на проверку, как будет ответ - напишу.

Как удалить msctl32.dll? Через команду regsvr32 -u C:\WINDOWS\system32\msctl32.dll не хочет

Пробовал и в safe mode

Как удалить msctl32.dll? Через команду regsvr32 -u C:\WINDOWS\system32\msctl32.dll не хочет

Пробовал и в safe mode
В АВЗ отложенным удалением.

Спасибо, но я попробовал удалить в Safe Mode без Networking и вроде бы все получилось!

Еще раз спасибо за оказанную помощь!