Само-отправка почты. Кого-то словил?

[eugene_fomin]

ДД!
Кажется "спамлю", Symantec периодически рапортует об успешной проверке исходящего сообщения.

Посмотрите, плз, можт троянца какого словил ...

Заранее спасибо.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\asfsip.dll','');
 DeleteFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\asfsip.dll');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
 DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
 DelBHO('{F961B713-2E42-4E3A-AD36-CB17A74B5AA3}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('CcEvtSvc');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19430).
Обновите базы AVZ.
Сделайте новые логи.

[drongo]

avz00006.dta - Trojan.Win32.Inject.zz,
avz00007.dta - Trojan-Downloader.Win32.Agent.kfd
avz00008.dta - Rootkit.Win32.Podnuha.ak -совсем свежий

Где же свежие логи?

[eugene_fomin]

Логи выкладываю.

[drongo]

Похоже всё, но был удалён уже в последнем сканировании- пинч- - скорее всего руткит его скрывал. Вообщем - меняйте пароли на всё. Я так понимаю компьютер в организации?
Стоит отформатировать/вернуть из имиджа чистую систему и пересмотреть организацию системы защиты. Начать с ограничения прав, компьюер должен использоваться под ограниченным пользователем. Тогда хоть руткиты бы не словили

[eugene_fomin]

Не, компьютер домашний, работает через ADSL модем
Можт еще какие меры принять? Все подряд ловить никакого желания нету

[drongo]

Да, если не хотите форматировать- нужно почистить временные файлы- может ещё что завалялось...
avz-> файл-мастер поиска и устранения проблемм- и там пройтись по всем опциям.

антивирус у вас больно устарелый - рекомендуеться пользоваться всегда последний версией насчёт фирмы- это уже на вкус и цвет - товарища нет, я бы выбрал KIS последний
вне зависимости выбора защитных программ:
под админом не сидеть, бродить по сайтам только с firefox+noscript ну и главное -здравый смысл- не нужно всякое "г" запускать.

[eugene_fomin]

Ok, спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\asfsip.dll - Rootkit.Win32.Podnuha.ak (DrWEB: Trojan.DownLoader.56883)
  2. c:\\windows\\system32\\ccevtsvc.exe - Trojan-Downloader.Win32.Agent.kfd (DrWEB: Trojan.Packed.573)
  3. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.zz (DrWEB: Trojan.Spambot.3060)