Explorer отправляет спам и лезет на прокси

Здравствуйте.

Уже несколько дней пытаюсь справиться с вирусом, живучий какой то оказался. Увидел в логах файрвола как проводник ломится в интернет на какие-то сайты и SMTP-серверы.

После загрузки системы создаются 2 файла на диске С: вида cdXXXX.nls и присоединяются к проводнику как модули. Если нажать в avz "Принудительно выгрузить dll" то после вылета и повторной загрузки проводника файлы создаются снова, даже в безопасном режиме. В памяти постоянно висят как "модули пространства ядра" dump_atapi.sys и dump_WMILIB.sys, причем на диске их нигде нет.

Помогите пожалуйста с ними справится.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\winsock32.dll','');
QuarantineFile('c:\cd2274.nls','');
QuarantineFile('c:\cd1794.nls','');
DeleteFile('c:\cd1794.nls');
DeleteFile('c:\cd2274.nls');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {0B90AA1B-F649-44C3-9FD3-736C332CBBCF} - (no file)
O2 - BHO: (no name) - {F34EA099-67D1-40c7-97A0-74E4C663E8DC} - (no file)
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O15 - Trusted IP range: 66.199.247.202
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} -
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} -
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} -
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} -[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

Скрипт выполнил, все пофиксил.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('c:\cd1201.nls');
BC_DeleteFile('c:\cd1446.nls');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите логи.

1. Скачайте утилиту по этой ссылке: [attach]10580[/attach].
2. Перезагрузитесь в безопасный режим.
3. Запустите скачанную утилиту и нажмите кнопку Patch.
4. Выполните скрипт [B]MaXim[/B]'a в предыдущем сообщении.
5. Сделайте новые логи.

Все выполнил, *.nls больше не цепляются, но зверята dump_atapi и dump_WMILIB остались. Явно с ними что-то не то, раз даже на диске таких файлов нет...

Спамбота мы с вами уничтожили, и это главное ;)
Проблема по идее должна исчезнуть.

По поводу [I]dump_atapi [/I]и [I]dump_WMILIB[/I] не беспокойтесь, это легитимные модули, они есть у всех и опасности не представляют.

Надеюсь, вам известно назначение вот этих программ? -
[code]
O4 - HKLM\..\Run: [wline] C:\Program Files\wline\InetAccess.exe
O4 - HKLM\..\Run: [JP Loader] C:\Программы\Запуск программ\1.0\Loader.exe
O4 - HKLM\..\Run: [Jet Programs Ringer] C:\vb98\Ringer\ringer.exe
[/code]
если нет - будем разбираться.

Еще AVZ находит кучу подозрительных вещей в папках:
C:\VB98
C:\Программы
но я так понял, это ваши собственные забавы.

Более ничего криминального в логах нет.

P.S. Я бы еще вот эти службы выключил (если не используете):
[code]
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
[/code]
P.P.S. Ах да, чуть не забыл! Вам необходимо срочно исправить это:
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
т.е. поставить SP2 + последующие обновления Windows,
иначе ваша система - решето.

Да, большое спасибо, проблемы исчезли.

[quote]Надеюсь, вам известно назначение вот этих программ? -
[/quote]

Да, первая предоставлена провайдером для доступа в интернет, остальные две собственного написания.

[quote]
Еще AVZ находит кучу подозрительных вещей в папках:
C:\VB98
C:\Программы
но я так понял, это ваши собственные забавы.

[/quote]
Да, это мои программы, странно что AVZ они не нравятся, ничего криминального в них нет:)

[quote]
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[/quote]

Уже обновляю.
Интересно как после загрузки всех обновлений систему заставить работать, а то когда то давно скачал обновление, а мне система пишет "Осталось 30 дней до активации" ;). С тех пор и не обновлял ничего...

[QUOTE]когда то давно скачал обновление, а мне система пишет "Осталось 30 дней до активации" . С тех пор и не обновлял ничего...[/QUOTE]
Да, мне следовало вас предупредить, просто в логах не видно, что винда крякнутая... После установки SP2 потребуется повторная активация.

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]62[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\cd1794.nls - [B]Trojan-Proxy.Win32.Pixoliz.lo[/B] (DrWEB: Trojan.Spambot)[*] c:\\cd2274.nls - [B]Trojan-Proxy.Win32.Pixoliz.lo[/B] (DrWEB: Trojan.Spambot)[*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Agent.x[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]