Все время пробует отправить почту

На другом компьютере все время пробует отправить почту.
Вот Логи.
Проверьте, пожалуйста!

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\nitmw.exe','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1234-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('C:\Program Files\Helper\1205096526.dll','');
QuarantineFile('C:\WINDOWS\Cursors\werasqlp.cur','');
QuarantineFile('c:\documents and settings\Администратор\ttc.exe','');
DeleteFile('c:\documents and settings\Администратор\ttc.exe');
BC_DeleteSvc('ICF');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
QuarantineFile('C:\WINDOWS\system32\winlugan.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин. Сделать новые логи.

Лог [B]hijackthis.log[/B] почему-то не прикрепляется.

Переименуйте его.

Переименовал. Все равно не прикрепляется.

Тогда удалите старые логи.

Говорит при этом:
"Вы уже вложили этот файл в теме"

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

Никак не получается вложить этот файл hijackthis.log.

Удалить эти файлы тоже не получается, говорит, что не хватает прав.
Может быть новую тему открыть?

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

Уважаемые Helper-ы!
Подскажите, что мне делать?

Удалите старые логи,через "Мой кабинет"=>"Управление вложениями" или залейте их сюда [url]http://virusinfo.ifolder.ru/[/url]

Спасибо за совет.
Послал карантин. Пробую присоеденить лог.

Да, чудеса! С файлом hijackthis.log все получилось, а вот с файлом virusinfo_syscheck.zip та же проблема. Хотя в кабинете на этот раз показывает, что есть только файл hijackthis.log.

Что делать с файлом virusinfo_syscheck.zip?
Не получается его загрузить.

[url]http://virusinfo.ifolder.ru/[/url]

Закачал на [url]http://virusinfo.ifolder.ru/[/url].
Вот ссылка на файл:
[url]http://virusinfo.ifolder.ru/6689791[/url]

hijackthis.log:

Уважаемые Helper-ы! Что вы можете сказать о последних логах?
Спасибо.

Проверьте, пожалуйста, компьютер.
Есть подозрение на werasqlp.cur.
При подключении к Интернету пробует массово отсылать письма.
P.S. Это продолжение вчерашней темы: [url]http://virusinfo.info/showthread.php?t=23292[/url].
Вчера не получалось залить логи, и поэтому, наверное не было ответа.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\Администратор\ttc.exe','');
QuarantineFile('\s','');
QuarantineFile('and.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys','');
QuarantineFile('C:\WINDOWS\system32\winlugan.exe','');
QuarantineFile('C:\WINDOWS\Cursors\werasqlp.cur','');
QuarantineFile('C:\WINDOWS\System32\Drivers\prodrv01.SYS','');
QuarantineFile('c:\windows\system32\nitmw.exe','');
DeleteFile('C:\WINDOWS\Cursors\werasqlp.cur');
DeleteFile('C:\WINDOWS\system32\winlugan.exe');
DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('1Google Online Search Service');
BC_DeleteSvc('riode32');
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=23351[/url] ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи.

Карантин выслал, логи сделал.

Еще лог по пункту 8 правил нужен.

Высылаю недостающий лог. Думал, что второй раз 8 пункт уже делать не надо.

c:\windows\system32\nitmw.exe - [B]Backdoor.Win32.Agent.itt[/B]

Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\Cursors\werasqlp.cur и если есть - сначала скопируйте его куда хотите при помощи Copy to... для того, чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\nitmw.exe');
DeleteFile('C:\WINDOWS\Cursors\werasqlp.cur');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Пришлите скопированный Вами файл нам в архиве с паролем virus.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1205096526.dll (file missing)[/code]

Сделайте новые логи.

Карантин из дома смотреть не могу, но в логе Хиджака все на месте. Как будто бы и не удаляли ничего.

Файла C:\WINDOWS\Cursors\werasqlp.cur уже нет. Вот новые логи.

выполните скрипт ...
[code]
begin
QuarantineFile('and.exe','');
QuarantineFile('ttc.exe','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Пуск - выполнить - напишите sc delete ICF - нажмите ОК.
После этого сделайте новый лог HijackThis.

Файлов and.exe и ttc.exe уже нет. Карантин пуст.
Новые логи.

Вот новый лог HijackThis после "sc delete ICF".

[B]Выключите Акронис[/B]. Ваш Имадж со Зверинцем можно только Всемирному музею компютерных вирусов подарить ;)
Пофиксите
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\ttc.exe \s[/CODE]

Акронис выключил.
Пофиксил.
Вот новые логи.


>> Ваш Имадж со Зверинцем можно только Всемирному музею >> >> >>компютерных вирусов подарить
Что, много всякой нечисти?

В логах чисто. Какие-то проблемы остались ?

Спасибо! Сейчас попробую.

Все работает хорошо. Проблем не замечаю.
Огромное спасибо всем Helper-ам, принимавшим участие в решении проблемы.

Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\ttc.exe - [B]Backdoor.Win32.Agent.itt[/B] (DrWEB: BackDoor.Zoner.2)[*] c:\\windows\\system32\\nitmw.exe - [B]Backdoor.Win32.Agent.itt[/B] (DrWEB: BackDoor.Zoner.2)[/LIST][/LIST]