電腦不斷的以背景模式發送電子郵件.[解決]

該我呼救了...
這個問題搞了我好幾天....
系統 : Wndows xp with SP3
防毒 : symantec antivirus 10.1企業版
發作時機 :
開機後時間上不一定，網路只要有接通，他就會自動在背景發送電子郵件，不過..小弟的Outlook Express 6是沒有做任何設定的，當然也就沒有設定寄件伺服器、也沒有聯絡人帳號(Offiec Outlook沒有安裝)，但是這個...怪現象就是會出現。
自己試過的方法 :
因為發覺已經中毒，所以不使用電腦本身的掃毒程式掃瞄。
嘗試過使用趨勢的掃描程式，但是沒有效果(掃出來沒有病毒，也沒有間諜程式)。
不知道有沒有哪一位前輩有經驗可以幫忙..謝謝。

附上一張剛開始發作的圖給大家參考..
發作到後面之後..不知道有幾封發送成功，但是失敗的會全部卡滿整個畫面..
全部按下確定之後他又會繼續發送..= ="

-----------------------------------------------------------------------------------------------------

有找到防毒掃出這隻毒了...
AVAST家用版..病毒碼日期要2009-03-18以後的才有..(夠新吧.)
病毒名稱 : Win32.wali(cryp)

使用panda線上掃毒也掃不出來..
使用Trend Micro System cleaner掃毒程式搭配病毒碼以間諜程式病毒碼.nd5也掃不到東西..
病毒檔案 : virus_userinit.rar (33.62 KB, 下載次數: 287)

2009-3-26 07:22 上傳

點擊檔案名下載附件

解壓密碼(均為小寫) : virus

[ 本文最後由 zankuro 於 2009-3-26 18:06 編輯 ]

先把"立即傳送郵件"的勾拿掉看看,再用惡意軟體移除工具掃看看...

設定的部份...嗯...已經取消即時傳送，但是狀況依然...
看來他不是由"正常管道"進行發送..
不過..很神奇的，網路一拔掉它就會自己停止..
惡意軟體移除工具目前仍在然scan中....等晚上看看有沒有找到東西吧..:)

symantec antivirus 10.1企業版
只能說是裝好看的
超多毒都掃不到
應該可以去防毒設定
把mail掃描部分關掉試試看

另外也要看你傳的MAIL附加檔案大小
有可能是對方的MAIL 伺服器拒收你的大檔案的MAIL

[ 本文最後由 sungshu 於 2009-3-24 22:24 編輯 ]

用命令提示字元...

按下 netstat -an |more
看看有沒有連到對方port 25的服務吧

我覺得你是中了木馬了
你說你是用什麼盾....
你的防毒軟體程式有沒有更新
好像有些版本會被破解變成防毒木馬軟體

建議你換個好一點的防毒體掃毒看看
包你有驚奇的發現
--------------------------------------------------------
以上是我朋友說的

TO IIS613
掃描完畢..沒有任何惡意軟體..  (一共掃了12個多小時)

TO singer :
看來這個"東西"似乎也做了防護...執行netstat指令時沒事,但是只要下參數就自己重開機..
那..原以為檔案壞了，從光碟從新抓一份出來覆蓋，再重新執行結果一樣..(所以我看不到任何port..= =")

最後...土炮作法..按下ctrl+alt+del，叫出工作管理員，把不確定的執行程序關掉.
關到後來發現一個東西..userinit.exe
這個...不是開完機自己會不見嗎??怎麼開這麼久了還在這裡??
關閉之後，再將剩下沒寄出去的錯誤訊息關掉，神奇的事情出現哩~不會自己發mail哩..
然後試驗一下..把網路拔掉，在接上..也不會自動發mail...看來問題應該是在這個東西上面...

補充..
找了一些網路上關於userinit.exe中毒的處理方式...但是沒有一項是符合我的情形..= ="
所有的登錄、檔案位置都正常...
有找出2個userinit.exe
一個在正常位置 c:\windows\system32
一個在C:\WINDOWS\ServicePackFiles\i386
位置上應該都ok.

不過..有一個無法確定...system32裡面的檔案被隱藏，而且檔案大小為36.0K，使用右鍵觀察檔案內容資訊，這個被隱藏的檔案沒有版本資訊 (所以這個應該確定有問題了)
另一個檔案只有24.5K,有版本資訊,那...現在可以直接由C:\WINDOWS\ServicePackFiles\i386這個資料夾的檔案覆蓋回去嗎?(我很怕蓋回去....要面對的是處理不開機的窘境..)

and...userinit.exe停止之後，netstat -an指令可以使用..

[ 本文最後由 zankuro 於 2009-3-24 20:17 編輯 ]

有用超級兔子嗎??
看看有沒有把「Simple Mail Transfer Protocol （SMTP）」服務&RPC（Remote Procedure Call，遠端程序呼叫）這兩個服務關閉～
方法：控制台\系統管理工具\服務
先關掉這兩個服務然後重開機看看！

其他可能用得上的
http://tw.knowledge.yahoo.com/qu ... 5%E9%97%9C%E9%96%89

[ 本文最後由 w32014202 於 2009-3-24 22:11 編輯 ]

利用線上掃毒
掃看看
若頓企業版的防毒真的根本就沒用= =++

我建議你還是換一套防毒吧
那套真的是裝好看的