[VladimirB]

Severny
Я и имел ввиду диск спасения или соответствующий софт (флешка) от Dr Web

Severny
Только лучше не через пару недель, а каждый раз перед проверкой делать

[ZGG]

Здравствуте уважаемые форумчане!
На моем компе завелся подлый червь, который отправляет почту в фоновом режиме. Обнаружил я его так:
Последние время, заметил что иногда у меня очень сильно притормаживает инет, то еть падает скорость открытия страниц и закачки. А также когда я ничего не использую, все равно тратится трафик. У меня стоит NOD32 с последними обновлениями. При полной проверки системы, он ничего не обнаружил! Вчера поставил Norton Internet Security 2007. В нем есть и фаервол и антивирус и всякая прочая фигня... И когда я в очередной раз зашел в инет, рядом с чисами начали появлятся много конвертиков. Их проверял Norton (Norton e-mail Scanner). Значит с моего компа отправляются e-mailЫ! Сделал полную проверку Нортоном (без обновленной базы, триальная версия) - результат тот же что и с Нодом. Фаерволы нортона и винды молчат как рыбы!
Кстате, установил Adware Lavasoft - ничего не нашел!!!
Помогите найти этот проклятый вирус!!!

З.Ы. Успользую Bat для работы с почтой!!!

[Severny]

http://www.trendsecure.com/portal/en...ackThis_v2.exe

Скачай утилиту, сделай лог и выкладывай сюда.
Возможно, можно будет справиться только с ее помощью.
Если не поможет, то призовем тяжелую артиллерию в виде AVZ.
Спам-боты с использованием технологии rootkit не для того пишут, чтобы обычные антивирусы их детектили.

[ZGG]

Вот лог который сделала програма. Запускал в тот момент когда Norton начал проверять письма!

Код:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:16:53, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset\nod32kui.exe
C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\ZGGulin\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Pragma] C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Download &All by FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx.htm
O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: FreshDownload - {3AB02F0A-6C69-4896-AE41-18F1AE4C514D} - C:\Program Files\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partner/rus/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9505B2C2-CE09-4DCA-AB15-8DC77763BAF5}: NameServer = 195.225.52.1,195.46.36.5
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 6877 bytes

Я так понимаю, это мониторинг моей оперативной памяти. Наверное лучше было б если я все выгрузил с трея. Если надо, я сделаю. Вообще я готов на все лишь бы покончить с этим вирусом!!!

[Severny]

Нежелательно использовать два антивируса в системе. Удали что-нибудь. Нортон удалить предпочтительнее.

1.Скачай этот сканер и проверь системный диск в безопасном режиме.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

2. Скачай антивирус http://z-oleg.com/avz4.zip
Распакуй в отдельную папку, зайди "Файл -- обновить базы" и обнови базы.

3. Закрой все антивирусы, лишние программы, игры и т.п.
Запусти только Internet Explorer, если он не запущен.

4. Запусти AVZ."Файл"=>"Стандартные скрипты" и поставь галку напротив
"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажми
"Выполнить отмеченные скрипты". Будет выполнено лечение и
исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG"
в архиве virusinfo_syscure.zip. Его надо прикрепить здесь.

[ZGG]

УРА!
Скачал проверку от DrWeb, запустил в безопасном режиме и проверил системный диск! Вуаля!!! Нашелся ГАД! Сидел червячок в system32. Точного названия не помню, что то вроде W...S...bot.exe. Теперь все ОКи-доки!!!

Спасибо тебе огромнешее, Severny!!!


З.Ы. По-ходу, DrWeb лучше чем NOD! Наверное буду переходить на его использование!

[Oldschool]

Поймал трояна, он http hijackает iExplorer...

Немогу выбить эту заразу!

Оутпоста этот трой гасит при системном скане...Аvast его не видит, и Nod32 тоже.

Делал System Restore, не помогает.

я в о..уе

чем его дальше рубить?

[System Failure]

Процесс Иксплорером видно его в процессах? смотрим дальше с какого он места запущем, киляем процесс, удаляем его, чистим запись в реестре автостарта...

[Severny]

Oldschool
http://www.trendsecure.com/portal/en...ackThis_v2.exe
Сделай лог и покажи здесь.

[Firiel]

...или можно попробовать из safe mode касперским ещё.
у меня обычно выцепляет подобное.