спам с компа

[Skromniy]

Добрый вечер, нужна ваша помощь. пров закрыл 25 порт сказал идет спам. проверил все компы подозрения только на 1 остались. установил angentum в нем увиел что процес servises.exe ломится на различные хосты локальные порты перебирает все по очереди а удаленный всегда 443.
есть вот такие вот 2 файла
>>> Подозрение на маскировку ключа реестра службы\драйвера "cmpid"
>>> Подозрение на маскировку ключа реестра службы\драйвера "xiozexab
их вкюцуи curit из безопастного режима удалил , но они появлись снова.
так же нод регулярно ругался на непонятные файлы в windows\temp
после того как сделал все исследования файла virusinfo_syscure.zip не нашел есть только virusinfo_cure.zip и то размер 1кб

[thyrex]

Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по cmpid и выберите "Turn Run Off", потом подтвердите перезагрузку. Повторите для xiozexab

Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\7680fedd3c90','');
 DeleteService('f98f44d0546c9d58');
 QuarantineFile('C:\WINDOWS\TEMP\74406c3b8a1c','');
 DeleteService('bdac3803bfbf74bf');
 QuarantineFile('C:\WINDOWS\TEMP\6080a23a4d08','');
 QuarantineFile('C:\WINDOWS\TEMP\844096abdc5c','');
 QuarantineFile('C:\WINDOWS\TEMP\7640f0a99b64','');
 QuarantineFile('C:\WINDOWS\TEMP\7480eaca4280','');
 DeleteService('82e9de787b886583');
 DeleteService('2a9d6e9608cfa6eb');
 DeleteService('0e94d8755033cf11');
 DeleteService('0249c568e035f437');
 QuarantineFile('C:\WINDOWS\system32\Drivers\xiozexab.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\cmpid.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\cmpid.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\xiozexab.sys');
 DeleteFile('C:\WINDOWS\TEMP\7480eaca4280');
 DeleteFile('C:\WINDOWS\TEMP\7640f0a99b64');
 DeleteFile('C:\WINDOWS\TEMP\844096abdc5c');
 DeleteFile('C:\WINDOWS\TEMP\6080a23a4d08');
 DeleteFile('C:\WINDOWS\TEMP\74406c3b8a1c');
 DeleteFile('C:\WINDOWS\TEMP\7680fedd3c90');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xiozexab');
BC_DeleteSvc('cmpid');
BC_DeleteSvcReg('xiozexab');
BC_DeleteSvcReg('cmpid');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Skromniy]

скрип не выполняеться с ошибкой
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]

прогнал еще раз cureit удалил уже не 2 а 4 файла. 2 из windows\system32\drivers и еще 2 из корзины. прогой какой сказали эти якобы райвера отключил. активность services.exe прекратилась.сделал ноые логи могу прикрепить их а также лог OSAM.
карантин выслать не могу т.к скрипт не выполняеться + файлы уже удалены

[Skromniy]

вот новые логи

[Bratez]

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('0249c568e035f437');
 BC_DeleteSvc('0e94d8755033cf11');
 BC_DeleteSvc('2a9d6e9608cfa6eb');
 BC_DeleteSvc('82e9de787b886583');
 BC_DeleteSvc('bdac3803bfbf74bf');
 BC_DeleteSvc('f98f44d0546c9d58');
 BC_DeleteSvc('hmnwjcb');
 BC_DeleteSvc('qfsjakog');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\cmpid.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\xiozexab.sys');
 BC_DeleteSvc('cmpid');
 BC_DeleteSvc('xiozexab');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).