Почтовый вирус

[Deeman]

Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
Заметил неладное я как только резко увеличился мой сетевой трафик. Стоял Касперский, который никак на это не реагировал. Псоле чего я поставил Симантек (Касперского отключил). Вообщем Симантек вирус тоже не обнаружил, но как только я совершаю подключение к сети (Интернет), Симантик фиксирует попытки отправления почты по всевозможным случайным бредовым адресам. Из чего я сделал вывод, что на компе поселился почтовый вирус. Хочу отметить, что никакого почтового клиента (программы) на компе не стоит. Мылом пользуюсь выходя в инет.

Проделал всю описанную вами процедуру.
DrWeb CureIT ничего не обнаружил.

Файлы прилагаю.
Надеюсь на помощь.

P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)

[rubin]

Код:

begin
 BC_QrSvc('PE386');
 BC_QrSvc('msguard');
 BC_QrSvc('huy32');
 BC_QrSvc('lzx32');
 BC_QrSvc('xpdt');
 BC_QrSvc('xpdx');
 BC_DeleteSvc('PE386');
 BC_DeleteSvc('msguard');
 BC_DeleteSvc('huy32');
 BC_DeleteSvc('lzx32');
 BC_DeleteSvc('xpdt');
 BC_DeleteSvc('xpdx');
 BC_Activate;  
 RebootWindows(true); 
end.

Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure

[V_Bond]

и такой лог сделайте http://virusinfo.info/showthread.php?t=10387

[Deeman]

Код:

begin
 BC_QrSvc('PE386');
 BC_QrSvc('msguard');
 BC_QrSvc('huy32');
 BC_QrSvc('lzx32');
 BC_QrSvc('xpdt');
 BC_QrSvc('xpdx');
 BC_DeleteSvc('PE386');
 BC_DeleteSvc('msguard');
 BC_DeleteSvc('huy32');
 BC_DeleteSvc('lzx32');
 BC_DeleteSvc('xpdt');
 BC_DeleteSvc('xpdx');
 BC_Activate;  
 RebootWindows(true); 
end.

Карантин пришлите по п.3 Правил, сделайте повторный лог virusinfo_syscure

Карантин пришлю позже. Сейчас на работе. А что делать с этим кодом?

Добавлено через 1 минуту

и такой лог сделайте http://virusinfo.info/showthread.php?t=10387

Этот лог сделать в безопасном режиме?
Какой файл прислать после этого?

Добавлено через 11 минут

На первый вопрос вроде нашел ответ в других ветках.
-------
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
....
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
--------

[PavelA]

Вообщем с недавневнего времени словил компьютерный вирус на домашний комп.
Я сильно продвинут в этом деле, но как смогу опишу. Прошу сильно не пинать.
Проделал всю описанную вами процедуру.
DrWeb CureIT ничего не обнаружил.
P.S. Как только вышел в инет, чтобы запостить эту тему вирус вновь активировался (об этом опять сообщает Симантик монитор)

Поздравляю с успешным выполнением Правил!

DrWeb CureIT делал "полную проверку" или только "экспресс"?

[Deeman]

Выполнялся Второй пукт меню - Полная проверка в безопасном режиме
Правда закачал свежую версию и запускал с компа

[Numb]

CureIT! при запуске делает т.н. экспресс-проверку. По окончании ее вы должны сами отметить пункт "Полная проверка" и нажать кнопку "Выполнить". Если вы этого не делали, сделайте.

[Deeman]

Именно так я и сделал!

Добавлено через 1 минуту

Все четко по инструкции.
Полная проверка длилась около трех часов

Добавлено через 3 минуты

Вспомнилася один ньюанс, возможно он имеет отношение к делу.
Обычно в систему захожу без выбора пользователя, при входе в безопасном режиме перед проверкой CureIT, система предложила выбрать пользователя Администратор или Я. Я выбрал "себя"...)))

[Bratez]

Все замечательно. Ждем карантин и запрошенный лог.

[Deeman]

Карантин отправил
Запрашиваемый лог ниже
Что еще необходимо сделать?
Что из оптимизации посоветуете выполнить?

[Bratez]

Больше ничего подозрительного не наблюдается.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Лишнее отключим.

[Deeman]

ПК домашний с выходом в инет через городского провайдера

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Эти службы мне не извевсты, но чувствую, что они мне не нужны...
Что скажете?

[Bratez]

Вот скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

[Deeman]

Спасибо!
Последние два вопроса
1) При загрузке после приветствия появляется окно об остуствии файла
...\SystemRoute\Windows\System32\AutoChk.exe
Что с этим делать?
2) Включить восстановление системы (Приложение 1)?

[Bratez]

AutoChk.exe восстановить из дистрибутива или скопировать с другого ПК.
Восстановление можно включить.

[Deeman]

Не могу найти целевую директорию.
Однако указанный файл был найден в C:\WINDOWS\system32
Это он?

[Bratez]

Да, он.

[Deeman]

И куда его скопировать?
Если он на своем месте, то почему система ругается?
...\SystemRoute\Windows\System32\

[V_Bond]

SystemRoute\Windows\System32\ = C:\WINDOWS\system32 возможно файл поврежден .... скопируйте его с другой машины ...

[Deeman]

Замещение файла из дистрибутива проблему не сняло. Окно по-прежнему появляется.
После перезагрузки система чем-то занята в течении получаса. Винт колбасит, загрузка системы на 50-60%...
Монитор Симантика пока молчит. При закрытом IE трафик не меняется. Однако при открытом IE только на странице этого форума трафик переодически растет. Причем исходящий примерно равен входящему.

Добавлено через 8 минут

Вот что пишет система в окне
...\SystemRoute\Windows\System32\AutoChk.exe program not found - SKIPING AUTO HECK