Хитрый вирус рассылает спам прямо из браузера

Симптомы такие:
Браузер запускается сам, открывается почтовый сайт Yahoo или Gmail, выполняется вход в почтовый ящик с невразумительным названием (каждый раз ящики разные), создается письмо со спамом (виагра и т.п.) и начинает рассылаться по списку адресов (по одному за раз).

Пока удалось выяснить, что этим безобразием руководит процесс с названием а-ля 58exuy4.exe, каждый раз генерится новый файл в папке C:\Documents and Settings\User\Local Settings\Temp, причём предварительно в этой же папке генерятся текстовые файлы с похожими названиями, но расширения у них conf, в них записывается путь к exe-шнику.

Все вышеописанные действия, предположительно, выполняет процесс svchost.exe, который не относится к системе (procexp показывает его на том же уровне, где и System). Если этот svchost убить, то рассылка спама прекращается.

Другие подробности будут позже, но может уже сейчас понятно, о чём речь и как эту фигню прекратить? NOD32 с последними базами ничего не находит. Сегодня попробую ещё что-нибудь.

Выполните [url=http://virusinfo.info/showthread.php?t=1235]Правила[/url].

Обязательно, как только до дома доберусь.

Просто я думал, что и такой информации может быть достаточно, чтобы определить заразу - уж очень специфическое поведение.

Tак многие новички думают, однако это только задерживает помощь.

Только что сделал логи.

AVZ - Файл - Выполнить скрипт:
[code]begin
QuarantineFile('c:\program files\powermenu\powermenu.exe','');
QuarantineFile('C:\WINDOWS\system32\taskswitch.exe','');
QuarantineFile('C:\WINDOWS\system\smss.exe','');
QuarantineFile('C:\WINDOWS\ContextMenuExt.dll','');
CreateQuarantineArchive(GetAVZDirectory+'9025_quarantine.zip');
end.[/code]
Файл [B]9025_quarantine.zip[/B] из каталога AVZ пришлите по ссылке [url=http://virusinfo.info/upload_virus.php?tid=9025]Прислать запрошенные файлы[/url].

ну как - есть что-нибудь?

кстати, вышеупомянутый несистемный процесс svchost.exe был ещё замечен в сканировании жесткого диска.

C:\WINDOWS\system\smss.exe - Trojan-Downloader.Win32.Horst.ap (по Касперскому). В Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строку [code]O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system\smss.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п.10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

Спасибо большое! Вроде бы теперь всё ОК.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system\\smss.exe - [B]Trojan-Downloader.Win32.Horst.ap[/B] (DrWEB: Trojan.DownLoader.21729)[/LIST][/LIST]