Spamboot

Здравствуйте!
Вот такая проблема: во время работы в Windows начинается активная рассылка почты через OutlookExpress. Через д-р Вэб проверял, удалял вирусы, но, всё равно, история продолжается!Прогнал с AVZ и, вроде, всё исчезло!Посмотрите, пожалуйста, логи.

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Сделать новые логи.

спасибо за быстрый ответ, сейчас сделаю

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

карантин я закачал
Минут через 5 будут логи

Вот новые логи.

Ничего не досталось. Попробуй выполнить скрипт из Safe Mode.

Trojan-Downloader.Win32.Agent.crz

Извините, что пропал на 2 недели, я вот сделал логи ещё раз в обычном режиме, сейчас выполню логи в Safe Mode. Как выполнятся, сразу же вышлю!

Не торопись. Выполни скрипт в Safe Mode.
Затем можно сделать и логи.

Хорошо, не буду!Я вот только не понял, а какой именно скрипт нужно выполнить в Safe Mode? :-)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А, понял, тот же самый скрипт, который Вы мне писали! Извините, что-то не сообразил! Хорошо, сейчас выполню! :-)

Выкладываю логи после выполненного скрипта.

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [MStask] C:\WINDOWS\svchost.exe
[/code]
и пришлите по правилам вот этот файлик:
c:\program files\common files\symantec shared\ccapp.exe
судя по количеству установленных им соединений, похож на оборотня.

Строчки пофиксил и файл закачал :-)

@Bratez у меня в Симантеке есть такой же файлик.

Компьютеру, к сожалению, легче не стало

[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]

:-(

Не вижу файла.
@[B]PavelA[/B]: знаю, но посмотри на список портов в логе AVZ...

хм, сейчас ещё раз закачаю, может сбой какой был, минутку

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

а сейчас, видите?По идее, должен был закачаться

Да, файл пришел, будем посмотреть...

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

На Вирустотал никто не заподозрил, вроде настоящий файл Симантека.
Однако в логе АВЗ видно, что именно он устанавливает огромное кол-во соединений по 25-му порту! Попробуйте хотя бы временно деинсталлировать Симантека. Чтобы не оставаться без защиты, можно установить например триальный КАВ. Заодно и проверочку им сделать не помешает. И сделайте логи, посмотрим дальше.

Хорошо, спасибо, сейчас выполню

Удалил Symantec, поставил Kaspersky. Нашёл он кучу всяких вирусов, всего даже не перечислить. Вот выкладываю сделанные только что логи. Посмотрите, пожалуйста.:)

Если не секрет что нашел касперский и самое главное где.