Рассылка спама

Добрый вечер!
Началось 6-го октября, обратил внимание на то, что значек в трее подозрительно горит, не мигая, хотя сидел только в чате. В дальнейшем определил: после включения ADSL модема происходит попытка связи с IP 208.72.168.137 после соединения модема к сетью открывается порт 25 и по протоколу SMTP начинается отправка сообщений с моего ПК. Заметил, что при подключении к сети после 22ч00м спам не отправляется, соединени по IP 208.72.168.137 не устанавливается. При сканировании ПК AVZ и подключенном модеме к ПК, но отключенном от сети (и при попытке установлении связи с IP 208.72.168.137) система падает в даун (экран смерти), сканирование произвел при отключенном модеме.
Прошу решить мою проблему.
Спасибо.
P.S. Диск С:/ не открывается обычным нажатием мыши, а только через меню или проводник. Выдается сообщение: " не найден copy.exe.

[code]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Fvl59.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys ','');
BC_QrSvc('Fvl59');
DeleteFile('C:\WINDOWS\system32\drivers\Fvl59.sys');
DeleteFile('Fvl59.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys ');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('Fvl59');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...

При выполнении скрипта система пошла в ребут, после отключения от сети скрипт отработал нормально.
А что делать с сообщением при открытии диска C: все так же пишет не найден copy.exe?
файл карантина выслал.

пофиксите...
[code]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
[/code]
C:\autorun.inf [B]Trojan.Autorun.EU[/B]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\plnt.exe','');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
выполните это ... [url]http://virusinfo.info/showthread.php?t=8877[/url]

Сегодня наступил момент истины!
Надеюсь, что все чисто, в сеть сам больше не пытается войти.
Огромное спасибо

думаю вам это потенциально опасное по не нужно
C:\WINDOWS\system32\plnt.exe [B]not-a-virus:Monitor.Win32.Processlogger.c[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\plnt.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите лог Hijack ...

Здравствуйте.
plnt.exe устанавливал сам для контроля запуска/установки приложений в мое отсутствие. В настоящее время служба не запускается.
Меня беспокоит невозможность пользованием "поиском" через меню пуск. Не работает.

1. Сделайте в AVZ:
Файл - Восстановление системы - отметить п.4,5,6,8 - Выполнить.

2. Обратите внимание:
[code]
C:\Program Files\OLIS\OLIS Piggybank\udf\MyDocStr.dll >>> подозрение на Trojan.Win32.Happyday ( 09E67D81 04B39E85 0023D08F 00279D21 62976)
C:\Program Files\OLIS\OLIS Piggybank\udf\MyMark.dll >>> подозрение на Trojan.Win32.Happyday ( 09F16D26 04ACF246 0023D08F 002ECC39 62976)
C:\Program Files\OLIS\OLIS Piggybank\udf\PerNum.dll >>> подозрение на Trojan.Win32.Happyday ( 09E2A69E 052817DE 0023D08F 00242283 62976)
[/code]
Если эта программа на самом деле нужна,
проверьте файлы на [url]www.virustotal.com[/url],
а если нет - удалите.

3. Это лучше отключить, если не используете:
[code]
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
[/code]

Вечер добрый.
п.1-выполнил.
п.2-выполнил.
п.3-выполнил частично, по telnet идет доступ к модему, в котором заблокирован вход из сети по 23 порту.
"Поиск" не появился.
Отсутствует "Корзина".
Не запускается служба IPSEC(незнаю, нужна ли она на самом деле)

Сходи на [url]http://www.kellys-korner-xp.com/xp_tweaks.htm[/url]
Там есть правки реестра для восст. поиска, да и про "Корзину" там же можно найти
Про поиск искать в Глоссарии ([url]http://www.kellys-korner-xp.com/xp_abc.htm[/url])

Здравствуйте. Все вернулось...
Сегодня при входе в личный кабинет обнаружил, что на странице авторизации цвета не соответствуют обычным. После авторизации страница приняла обычный вид.
Это вызвало у меня подозрение, что кто то "подсунул" мне эту страничку. Начал проверять ПК. Оказалось, что;
системная дата не соответствует(26 число)
в автозагрузке появился процесс ntos и ни как не могу его отключить:(

появился процесс aswRdr( в последнем не уверен)
появилась ошибка "сбой загрузки драйвера oreans32, сбой запуска Диспетчера подключения удаленного доступа из-за службы Телефония, которую не удалось запустить.

Происходят попытки связаться с 88.255.90.50

Спасибо.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis (что останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
[/code]
Сделайте такой лог:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

Все сделал, по вышеперечисленному IP не "стучится". Но ошибки при запуске системы остались.

выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\SystemRoot\system32\DRIVERS\imagedrv.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
вам действительно нужен такой огромный хост файл ?
какие ошибки ... подробнее...

Выполните скрипт:
[code]
begin
BC_DeleteSvc('oreans32');
BC_Activate;
RebootWindows(true);
end.[/code]
AswRdr.sys - это драйвер от Avast'a.
Ничего подозрительного больше не вижу.

Здравствуйте. Все выполнил, файл выслал.
Спасибо.

файлик в карантин не попал ... если у вас установлен неро , то в принципе ничего подозрительного ...
так что насчет хост файла ? (работа в интернет замедляется )

Неро отсутствует. Странно, в Зипе и в карантине ничего нет:( Я уже слышал, как у кого-то то-же неоказалось файлов в архиве.
По хост файлу... вроде как это должно блокировать доступ на эти IP, правда, сомневаюсь в этом. Как поступить? Посоветуйте!

советую AVZ - восстановление системы - пункт 13 - выполнить ....

Выполнил.
Так что у меня было? Как то странно, второй раз за месяц и антивирь молчал.
Постоянно захожу на одни и те же сайты, практически ничего не качаю. По почте последнее время спам не получал. Постоянно проверяю ручками папку ТMP и System32 на появление новых файлов(по дате) они, что изменяя файл оставляют старую дату?
Какова вероятность, что эта бяка затаилась у меня где-нибудь в архивах?
Спасибо!

если не выполняли .... обязательно выполните проверку [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]cureit.exe[/URL]
По возможности не пользуйтьсь Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скрипт,разрешать их только для доверенных сайтов) ....
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Здравствуйте. Сегодня при попытке обновления Avastа произошел сбой загрузки:
Появилось сообщение, что "Лицензионный ключ недействительный или просрочен. Лицензия действительна до 1 января 1970г." Пердлогает мне изменить системное время или ввести новый ключ! Сам Avast сообщает, что время истечения 8 мая 2008 года.
Я выше писал, что сомопроизвольно поменялось системное время, может быть где-то остался "мусор".
Что делать?!
Спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\plnt.exe - [B]not-a-virus:Monitor.Win32.ProcessLogger.c[/B][/LIST][/LIST]