помогите вылечить от спаммера

[betep52]

Вобщем заблокировали мне 25 порт, не могу почту отправлять ( провайдер говорит что от меня лезит спам, прогнал кучей антивирусников не помогло не нашел ничего подобного, да и провайдер жалуется все.
сделал все поинструкции вашей,
высылаю логи, лог virusinfo_cure.zip тоже есть если что.
заранее огромное спасибо, очень надеюсь на вашу помощь.

[regist]

Здравствуйте!

Обновите базы AVZ.

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
 QuarantineFile('C:\Documents and Settings\Менеджер\hddd.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\SHxexOU1.sys','');
 QuarantineFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('C:\WINDOWS\ghdrive32.exe');
 DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('F:\autorun.inf');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1614895754-448539723-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1614895754-448539723-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1614895754-448539723-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ

+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[betep52]

завтра с утра это сделаю, и вышлю все как вы сказали, спасибо большое

[betep52]

вот повторные логи из п.2 и п.3 раздела диагностика,
МБАМ в процессе , файл карантина выслан на почту

[betep52]

вот лог по МБАМ надеюсь про этот идет речь

[betep52]

110421_091042_virusinfo_files_SHOKO-140_4daff492707d1.zip по последней процедуре

[regist]

betep52, удалите всё найденное в MBAM кроме

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Сделайте новый лог полного сканирования MBAM.

C:\Documents and Settings\Менеджер\hddd.exe вам знаком? если нет проверьте его на http://www.virustotal.com/ ссылку на результат проверки напишите здесь.

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

[betep52]

hddd не вижу, а так раньше он был и как раз подозрения на него, так как после удаления его из автозагрузки и нет заработал значительно быстрее.

[regist]

Лог virusinfo_syscheck.zip ещё раз повторите, на это время подключите флешку к компьютеру.

[betep52]

Вот выполнил!

[regist]

Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1614895754-448539723-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1614895754-448539723-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1614895754-448539723-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Сделайте повторные лог по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Добавлено через 2 минуты

Цитата: Сообщение от regist Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена Установите SP3 (может потребоваться активация) + все новые обновления для Windows

это надо обязательно установить, а иначе червь снова вернётся.

В первых логах я видел файл F:\autorun.inf эту флешку на время выполнения последего подключали? Пришлите этот файл на почту как карантин согласно правилам.

[betep52]

Цитата: Сообщение от regist Здравствуйте! После выполнения скрипта компьютер перезагрузится. - выполните такой скрипт В первых логах я видел файл F:\autorun.inf эту флешку на время выполнения последего подключали? Пришлите этот файл на почту как карантин согласно правилам.

все сделаю, мне непонятно какой скрипт выполнить, потом флэшку я подключал как и сказали, и какой файл прислать как карантин и по каким правилам, я немного запутался.? спасибо
Догадываюсь что скрипт для создания файла карантина как раз таки чтоб потом его и прислать???

[regist]

Цитата: Сообщение от betep52 все сделаю, мне непонятно какой скрипт выполнить, потом флэшку я подключал как и сказали, и какой файл прислать как карантин и по каким правилам, я немного запутался.? спасибо Догадываюсь что скрипт для создания файла карантина как раз таки чтоб потом его и прислать???

нет, это скрипт для удаления заразы с вашего компьютера, заодно он отключает автозапуск с флешки (чтобы вы не заразились с неё заново).
Насчёт того как прислать как прислать карантин можете почитать в ЧАВО:
Как правильно искать и присылать запрошенные файлы?
либо правила раздела Приложение 3. Как прислать запрошенные файлы

[betep52]

вообщем установил сп3 и последние обновления винды, вот логи, файла ф:авторан.инф так и не нашел ( все способами) по видимому потомучто я поторопился и создал новый файл карантина после вашего ответа

[betep52]

лог мбам