Почтовый вирус

Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
Заметил неладное я как только резко увеличился мой сетевой трафик. Стоял Касперский, который никак на это не реагировал. Псоле чего я поставил Симантек (Касперского отключил). Вообщем Симантек вирус тоже не обнаружил, но как только я совершаю подключение к сети (Интернет), Симантик фиксирует попытки отправления почты по всевозможным случайным бредовым адресам. Из чего я сделал вывод, что на компе поселился почтовый вирус. Хочу отметить, что никакого почтового клиента (программы) на компе не стоит. Мылом пользуюсь выходя в инет.

Проделал всю описанную вами процедуру.
DrWeb CureIT ничего не обнаружил.

Файлы прилагаю.
Надеюсь на помощь.

P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)

[code]begin
BC_QrSvc('PE386');
BC_QrSvc('msguard');
BC_QrSvc('huy32');
BC_QrSvc('lzx32');
BC_QrSvc('xpdt');
BC_QrSvc('xpdx');
BC_DeleteSvc('PE386');
BC_DeleteSvc('msguard');
BC_DeleteSvc('huy32');
BC_DeleteSvc('lzx32');
BC_DeleteSvc('xpdt');
BC_DeleteSvc('xpdx');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure

и такой лог сделайте [url]http://virusinfo.info/showthread.php?t=10387[/url]

[quote=rubin;157628][code]begin
BC_QrSvc('PE386');
BC_QrSvc('msguard');
BC_QrSvc('huy32');
BC_QrSvc('lzx32');
BC_QrSvc('xpdt');
BC_QrSvc('xpdx');
BC_DeleteSvc('PE386');
BC_DeleteSvc('msguard');
BC_DeleteSvc('huy32');
BC_DeleteSvc('lzx32');
BC_DeleteSvc('xpdt');
BC_DeleteSvc('xpdx');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure[/quote]

Карантин пришлю позже. Сейчас на работе. А что делать с этим кодом?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=V_Bond;157631]и такой лог сделайте [URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]

Этот лог сделать в безопасном режиме?
Какой файл прислать после этого?

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

На первый вопрос вроде нашел ответ в других ветках.
-------
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
....
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
--------

[QUOTE=Deeman;157624]Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
Проделал всю описанную вами процедуру.
DrWeb CureIT ничего не обнаружил.
P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)[/QUOTE]

Поздравляю с успешным выполнением Правил!

DrWeb CureIT делал "полную проверку" или только "экспресс"?

Выполнялся Второй пукт меню - Полная проверка в безопасном режиме
Правда закачал свежую версию и запускал с компа

CureIT! при запуске делает т.н. экспресс-проверку. По окончании ее вы должны сами отметить пункт "Полная проверка" и нажать кнопку "Выполнить". Если вы этого не делали, сделайте.

Именно так я и сделал!

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Все четко по инструкции.
Полная проверка длилась около трех часов

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Вспомнилася один ньюанс, возможно он имеет отношение к делу.
Обычно в систему захожу без выбора пользователя, при входе в безопасном режиме перед проверкой CureIT, система предложила выбрать пользователя Администратор или Я. Я выбрал "себя"...)))

Все замечательно. Ждем карантин и запрошенный лог.

Карантин отправил
Запрашиваемый лог ниже
Что еще необходимо сделать?
Что из оптимизации посоветуете выполнить?

Больше ничего подозрительного не наблюдается.

Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.

ПК домашний с выходом в инет через городского провайдера

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Эти службы мне не извевсты, но чувствую, что они мне не нужны...
Что скажете?

Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]

Спасибо!
Последние два вопроса
1) При загрузке после приветствия появляется окно об остуствии файла
...\SystemRoute\Windows\System32\AutoChk.exe
Что с этим делать?
2) Включить восстановление системы (Приложение 1)?

AutoChk.exe восстановить из дистрибутива или скопировать с другого ПК.
Восстановление можно включить.

Не могу найти целевую директорию.
Однако указанный файл был найден в C:\WINDOWS\system32
Это он?

Да, он.

И куда его скопировать?
Если он на своем месте, то почему система ругается?
[COLOR=red]...\SystemRoute\[/COLOR]Windows\System32\

SystemRoute\Windows\System32\ = C:\WINDOWS\system32 возможно файл поврежден .... скопируйте его с другой машины ...

Замещение файла из дистрибутива проблему не сняло. Окно по-прежнему появляется.
После перезагрузки система чем-то занята в течении получаса. Винт колбасит, загрузка системы на 50-60%...
Монитор Симантика пока молчит. При закрытом IE трафик не меняется. Однако при открытом IE только на странице этого форума трафик переодически растет. Причем исходящий примерно равен входящему.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Вот что пишет система в окне
...\SystemRoute\Windows\System32\AutoChk.exe program not found - SKIPING AUTO HECK

Нужно проверить диск, это правая клавиша на диске, "Сервис", проверка диска. Можно без проверки поверхности.

[quote=PavelA;157943]Нужно проверить диск, это правая клавиша на диске, "Сервис", проверка диска. Можно без проверки поверхности.[/quote]

Не понял?

chkdsk /f /c - в командной строке выполнить.

Сегодня внимательно наблюдал за поведением системы.
У меня нет полной уверенности, что вирус убит.
Прстой пример :
Загрузил компьютер, подключился к инету, ВСЕ приложения закрыты - только статистика входящего и исходящего трафика, полтора часа после подключении к сети к компу никто не подходил, за это время отправлено и принято почти 20 тысяч пакетов!!!
Это нормально???
Если нет, что еще посоветуете сделать?

Сделайте новые логи, посмотрим.
Можно еще дополнительный лог сделать, как описано тут:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

Вот новые логи.
Есть один маскирующийся процесс

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин по правилам.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

В первых логах этой штуки не было, уже в процессе где-то подхватили ;)
После скрипта сделайте новый лог HijackThis.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

У вас базы антивируса обновляются? Зверьки-то ваши старые, особенно первый...

Крантин отправил.
Касперского снес т.к. он вообще не реагировал.
Симантик замечал отправки через 25 порт с новыми базами, но не лечил.
Сейчас стоит база Симантика от 16/12/07

Странно где я мог второй поймать? Заходил только на ваш сайт и сюда [url]http://www.hcsibir.ru[/url] - скорее всего здесь второй вирус и словил.

Вот лог.
По ошибке (на автомате набрал, т.к. в голове сидело) опять зашел сюда [URL]http://www.hcsibir.ru[/URL]
Интересно словил или нет?

Посоветуйте какой монитор поставить, чтобы они реагировали на зараженные страницы?
Симантик молчит блин...

В логе чисто. Надеюсь лишнего трафика больше нет?
Тот, что в карантине - совсем свежая модификация известного трояна, пока из популярных антивирусов его ловит только DrWeb (Trojan.Packed.194).

Добавлен в базы KAV как [b]Backdoor.Win32.Kbot.ax[/b]

Понаблюдаю за трафиком... Пока сложно сказать. Он как минимум не должен увеличиваться просто так, когда ВСЕ приложения закрыты. Причем входящий равен исходящему...
Так что посоветуете в качестве антивирусного монитора?
DrWeb?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

На счет старого первого вируса.
CureIT! которым я проверил комп согласно ваших правил его тоже не отловил!

Не отловил, потому что это был руткит.

[size="1"][color="#666686"][B][I]Добавлено через 53 секунды[/I][/B][/color][/size]

100% гарантии не даст ни один антивирус.

Все в порядке!
Через час в инете никакой активности не обнаружено!
Оргомное спасибо!

P.S. Однако думаю, что это не последнее мое обращение...

Я начинаю отчаиваться.
Опять был резкий скачек трафика. В течении 20 минут по 10 тыс входящих и исходящих пакетов "на моих глазах"!
Были включен только барозер IE на страницах без обновления.
Автообновление Винды отключено.
Где паразит?
Что делать?

у вас нортон интернет секьюрити ?
что там в логах фаервола ... ?
у вас установлен SQL сервер не допускаете что активность может исходить оттуда ... ?

Если честно - кроме симантик антивирус у меня сейчас ничего не установлено.
Фаервола тоже нет, покрайней мере я его не ставил...
SQL сервер - понятие не имею что это. Тоже лично я не ставил...

[code]
1433 LISTENING 0.0.0.0 38990 [1448] c:\program files\pinnacle\mediaserver\microsoft sql server\mssql$pinnaclesys\binn\sqlservr.exe
[/code]
pinnacle - ваш ?
ставте фаерволл например COMODO (ссылки есть в соответствующем разделе форума) ... увидете что у вас общается с сетью ...

Да мой.
Это програмка для видеозахвата и монтажа.
Снесу.
Ок.
Огромное спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mssrv32.exe - [B]Backdoor.Win32.Kbot.ax[/B] (DrWEB: Trojan.Packed.194)[/LIST][/LIST]