Подозрительная рассылка

В последнее время в офисе постоянно появляются рабочие станции, которые рассылают спам.

На шлюзе видна рассылка по различным адресам прямым перебором данных по протоколу smtp

Kaspersky 5/6/7 , nod32 - проблему не решают, все чисто говорят.
При этом рассылка продолжается.
Базы актуальны.

Установка Outpost фиксирует отсылку спама процессом "SYSTEM", но не конкретизует что за процессы выполняются.
Аналогичная ситуация с приложением tcpview

Данные одной из машин прилагаются.

Что это может быть?
В данный момент для машины просто закрыты все порты на выход посредством роутера, но это, понятно, не решение.

[QUOTE=Croozy;238984]Данные одной из машин прилагаются.
[/QUOTE]Это же сервер. Или с него тоже идет спам? Я ничего плохого не нашел.

[URL="http://www.gmer.net/"]скачайте [/URL] сделайте лог (только не в терминальной сессии) приложите ...
выполните скрипт ...
[code]
begin
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

[QUOTE=Rene-gad;238986]Это же сервер. Или с него тоже идет спам? Я ничего плохого не нашел.[/QUOTE]

Это сервер.
С него идет, да. В том числе.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=V_Bond;238990][URL="http://www.gmer.net/"]скачайте [/URL] сделайте лог (только не в терминальной сессии) приложите ...
выполните скрипт ...
[code]
begin
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...[/QUOTE]

при попытке выполнить скрипт

Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\kM0W4a1H.sys)
Карантин с использованием прямого чтения - ошибка

Работать с сервером вне терминального режима не имею возможности

На данный момент это самая сложная неисправность, с которой мне приходилось сталкиваться за 10 лет.

Выполните пункт 2 правил (полная проверка CureIt!).

в терминальном режиме сделал лог GMER

[QUOTE=kps;238999]Выполните пункт 2 правил (полная проверка CureIt!).[/QUOTE]

Выполнено еще до проверок всех
Никаких проблем не найдено

у вас похоже буткит ...
нужно запустить CureIt и пролечиться не из терминальной сессии ....

У меня есть еще рабочие станции с подобной проблемой, сейчас запущу на одной из них - по результатам сообщу

[QUOTE=Croozy;239118]Файлы соседней машины с точно теми же проблемами прилагаются[/QUOTE]

Вторую машину в новую тему пожалуйста, чтоб путаницы в логах не было.

Создал здесь
[url]http://virusinfo.info/showthread.php?p=239122[/url]
перенестите пожалуйста логи в ту тему, движок сайта сообщает мне, что я логи эти уже выкладывал и более не могу

Перенёс.