Почтовый вирус

Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
Заметил неладное я как только резко увеличился мой сетевой трафик. Стоял Касперский, который никак на это не реагировал. Псоле чего я поставил Симантек (Касперского отключил). Вообщем Симантек вирус тоже не обнаружил, но как только я совершаю подключение к сети (Интернет), Симантик фиксирует попытки отправления почты по всевозможным случайным бредовым адресам. Из чего я сделал вывод, что на компе поселился почтовый вирус. Хочу отметить, что никакого почтового клиента (программы) на компе не стоит. Мылом пользуюсь выходя в инет.

Проделал всю описанную вами процедуру.
DrWeb CureIT ничего не обнаружил.

Файлы прилагаю.
Надеюсь на помощь.

P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)

[code]begin
BC_QrSvc('PE386');
BC_QrSvc('msguard');
BC_QrSvc('huy32');
BC_QrSvc('lzx32');
BC_QrSvc('xpdt');
BC_QrSvc('xpdx');
BC_DeleteSvc('PE386');
BC_DeleteSvc('msguard');
BC_DeleteSvc('huy32');
BC_DeleteSvc('lzx32');
BC_DeleteSvc('xpdt');
BC_DeleteSvc('xpdx');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure

и такой лог сделайте [url]http://virusinfo.info/showthread.php?t=10387[/url]

[quote=rubin;157628][code]begin
BC_QrSvc('PE386');
BC_QrSvc('msguard');
BC_QrSvc('huy32');
BC_QrSvc('lzx32');
BC_QrSvc('xpdt');
BC_QrSvc('xpdx');
BC_DeleteSvc('PE386');
BC_DeleteSvc('msguard');
BC_DeleteSvc('huy32');
BC_DeleteSvc('lzx32');
BC_DeleteSvc('xpdt');
BC_DeleteSvc('xpdx');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure[/quote]

Карантин пришлю позже. Сейчас на работе. А что делать с этим кодом?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=V_Bond;157631]и такой лог сделайте [URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]

Этот лог сделать в безопасном режиме?
Какой файл прислать после этого?

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

На первый вопрос вроде нашел ответ в других ветках.
-------
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
....
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
--------

[QUOTE=Deeman;157624]Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
Проделал всю описанную вами процедуру.
DrWeb CureIT ничего не обнаружил.
P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)[/QUOTE]

Поздравляю с успешным выполнением Правил!

DrWeb CureIT делал "полную проверку" или только "экспресс"?

Выполнялся Второй пукт меню - Полная проверка в безопасном режиме
Правда закачал свежую версию и запускал с компа

CureIT! при запуске делает т.н. экспресс-проверку. По окончании ее вы должны сами отметить пункт "Полная проверка" и нажать кнопку "Выполнить". Если вы этого не делали, сделайте.

Именно так я и сделал!

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Все четко по инструкции.
Полная проверка длилась около трех часов

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Вспомнилася один ньюанс, возможно он имеет отношение к делу.
Обычно в систему захожу без выбора пользователя, при входе в безопасном режиме перед проверкой CureIT, система предложила выбрать пользователя Администратор или Я. Я выбрал "себя"...)))

Все замечательно. Ждем карантин и запрошенный лог.

Карантин отправил
Запрашиваемый лог ниже
Что еще необходимо сделать?
Что из оптимизации посоветуете выполнить?

Больше ничего подозрительного не наблюдается.

Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.

ПК домашний с выходом в инет через городского провайдера

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Эти службы мне не извевсты, но чувствую, что они мне не нужны...
Что скажете?

Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]

Спасибо!
Последние два вопроса
1) При загрузке после приветствия появляется окно об остуствии файла
...\SystemRoute\Windows\System32\AutoChk.exe
Что с этим делать?
2) Включить восстановление системы (Приложение 1)?

AutoChk.exe восстановить из дистрибутива или скопировать с другого ПК.
Восстановление можно включить.

Не могу найти целевую директорию.
Однако указанный файл был найден в C:\WINDOWS\system32
Это он?

Да, он.

И куда его скопировать?
Если он на своем месте, то почему система ругается?
[COLOR=red]...\SystemRoute\[/COLOR]Windows\System32\

SystemRoute\Windows\System32\ = C:\WINDOWS\system32 возможно файл поврежден .... скопируйте его с другой машины ...

Замещение файла из дистрибутива проблему не сняло. Окно по-прежнему появляется.
После перезагрузки система чем-то занята в течении получаса. Винт колбасит, загрузка системы на 50-60%...
Монитор Симантика пока молчит. При закрытом IE трафик не меняется. Однако при открытом IE только на странице этого форума трафик переодически растет. Причем исходящий примерно равен входящему.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Вот что пишет система в окне
...\SystemRoute\Windows\System32\AutoChk.exe program not found - SKIPING AUTO HECK