рассылается спам

Добрый день.
С компа рассылается спам. Самому не справиться. Файлы vmmreg32.dll video.sys после удаления создаются снова. Т.е. основа заразы - не они.
В безопасном режиме проверил AVPTool`ом с лечением и удалением, сделал логи согласно правилам.

P.S. На соседней машине был этот же, вроде, вирус. Там он удалился без особых сложностей.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
[/CODE]

Скопированные с помощью IceSword файлы сохраните в карантине.
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.


Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1 [/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
StopService('VIDEO');
StopService('vmi388');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
QuarantineFile('C:\WINDOWS\System32\drivers\vmi388.sys','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('WinCtrl32.dll','');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\System32\drivers\vmi388.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteService('VIDEO');
DeleteService('vmi388');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('vmi388');
BC_Activate;
RebootWindows(true);
end.
[/CODE]


После перезагрузки:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 2 [/URL]
[CODE]begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
[/CODE]


После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

все выполнил. TCPView на данный момент не видит левых коннектов. Логи прилагаю.

Спасибо большое за помощь. ;)

лог virusinfo_[B]sys[/B]cure.zip где?

эээ... сейчас будет, выполняю. Мне показалось, что Вы попросили с п.10 правил. Сглючило, видно меня.

рано порадовался: Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "vmmreg32.dll"
Нижайше прошу прощения: надо уходить из офиса. Сейчас только меня ждут. Придется продолжать в ПН.

отсутствующий лог virusinfo_syscure.zip прилагаю

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('upnphostVSS');
BC_DeleteSvc('SSDPSRVNla');
BC_DeleteSvc('seclogonWZCSVC');
BC_DeleteSvc('seclogonAppMgmt');
BC_DeleteSvc('RpcSsSpooler');
BC_DeleteSvc('RpcSsseclogon');
BC_DeleteSvc('NetDDEdsdmTrkWks');
BC_DeleteSvc('LiveUpdateccEvtMgr');
BC_DeleteSvc('HidServwinmgmt');
BC_DeleteSvc('HidServCOMSysApp');
BC_DeleteSvc('DefWatchCryptSvc');
BC_DeleteSvc('ClipSrvUPS');
BC_DeleteSvc('ccSetMgrLiveUpdate');
DeleteFile('srv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пункты 2 и 3 диагностики повторите.

Спасибо большое, вроде все чисто по логам.

-[URL="http://virusinfo.info/showpost.php?p=80604&postcount=2"]Пофиксите службу[/URL]
[CODE]O23 - Service: Служба обеспечения сети xmlprovImapiService (xmlprovImapiService) - Unknown owner - .exe (file missing)
[/CODE]
Повторите логи
[B]virusinfo_syscheck.zip
hijackthis.log[/B]

пофиксил
повторил

Еще раз спасибо.

В логах ничего подозрительного.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \spam1 - [B]Trojan-Dropper.Win32.Agent.acga[/B] ( DrWEB: Trojan.MulDrop.29404, BitDefender: Trojan.Generic.1269022 )[*] \spam2 - [B]Trojan-Dropper.Win32.Agent.acgi[/B] ( DrWEB: Trojan.MulDrop.29402, BitDefender: Trojan.Generic.1265514 )[*] \spam3 - [B]Trojan-PSW.Win32.Agent.lkk[/B] ( DrWEB: Trojan.NtRootKit.2525, BitDefender: Trojan.Generic.1266870 )[*] \spam4 - [B]Trojan-PSW.Win32.Agent.lkk[/B] ( DrWEB: Trojan.NtRootKit.2525, BitDefender: Trojan.Generic.1266870 )[*] \spam5 - [B]Trojan-Dropper.Win32.Agent.acgi[/B] ( DrWEB: Trojan.MulDrop.29402, BitDefender: Trojan.Generic.1265514 )[*] \spam6 - [B]Trojan-Dropper.Win32.Agent.acga[/B] ( DrWEB: Trojan.MulDrop.29404, BitDefender: Trojan.Generic.1269022 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]