касперский 7 определял как руткит iexplorer.exe

[Максимус]

После подключения к сети Касперский АнтиВирус 7 выдавал сообщение, что найден руткит - файл iexplorer.exe. Сам обозреватель запущен в это время не был. Я выбирал пункт "пропустить".
После полного сканирования системы Касперским и cureit.exe данного сообщения больше не появляется. Но хотелось бы убедиться, что данная проблема решена полностью и нет других проблем.

[Trotil]

virusinfo_cure.zip уберите из темы. Нужен virusinfo_syscure.zip

[V_Bond]

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\FolderMarker.ico','');
 QuarantineFile('C:\WINDOWS\system32\necsopp.sys','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
BitAccelerator -деинсталируйте ...

[Максимус]

хм... ситуация такая:
Файл virusinfo_syscure.zip - НЕ создается при выполнении "Скрипт лечения/карантина..."
В процессе выполнения этого скрипта, в частности, появляется строка: "Ошибка в работе антируткита [Range check error], шаг [11]". Я сохранил лог выполнения этого скрипта, если нужно - пришлю.
При выполнении скрипта от V_Bond появляется сообщение об ошибке: "Failed to set data for "DilplayName". После нажатия ОК avz вроде работает, но не хочет закрываться, никакие другие программы не запускаются, помогает перезагрузка. Также после запуска этого скрипта тут же появляется системное сообщение о нехватке виртуальной памяти. Лог выполнения этого скрипта я тоже сохранил и могу прислать.
BitAccelerator отсутствует в списке программ установки-удаления, отсуствует на диске. Я нашел только записи в реестре, относящиеся к этой программе, и удалил их (программой Reg Organizer для чистки и редактирования реестра).
Запрошенные файлы карантина высылаю.

[V_Bond]

сделайте лог http://virusinfo.info/showthread.php?t=10387

[Максимус]

логи делал в обычном режиме (небезопасном)

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 BC_QrFile('C:\WINDOWS\system32\necsopp.sys');
 BC_QrFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\FolderMarker.ico');
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Пофиксите в HijackThis:

Код:

O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)

Сделайте последний лог в безопасном режиме (текст от ст. скрипта #1 отдельно сохранять не надо).

[Максимус]

всё сделал.

[V_Bond]

выполните скрипт Bratez из поста 7 в safe mode ...
пришлите карантин согласно приложения 3 правил ...

[Максимус]

сделал.

[V_Bond]

C:\WINDOWS\system32\necsopp.sys
C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\FolderMarker.ico .....нужно скопировать руками (желательно в far) они точно есть на диске .... и в архиве с паролем прислать ...

[Максимус]

выслал. Копировал с помощью Total Commander.
Far - это Far Manager? Его нет, но могу найти и поставить, если потребуется.
пароль к архиву - "virus"

[V_Bond]

necsopp.sys-Rootkit.Win32.Agent.pu
отключите антивирус ...
выполните скрипт...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteFile('C:\WINDOWS\system32\necsopp.sys');
 BC_DeleteSvc('necsopp');
 BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[Максимус]

сделал.
virusinfo_syscure.zip - не создается.
остальные прилагаю.

[V_Bond]

зловредов уничтожили ... какие проблемы остались ?

[Максимус]

Огромное спасибо! Больше пока ничего не беспокоит.
А то что virusinfo_syscure.zip не создается при выполнении скрипта лечения/каратнтина - это нормально?

[Muzzle]

Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[V_Bond]

Огромное спасибо! Больше пока ничего не беспокоит.
А то что virusinfo_syscure.zip не создается при выполнении скрипта лечения/каратнтина - это нормально?

скажем так .... не совсем ... но у есть вас есть Outpost .... возможно из-за него ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор\\local settings\\temp\\winlogon.exe - Trojan.Win32.Pakes.bro (DrWEB: Trojan.Packed.147)
  2. c:\\windows\\system32\\necsopp.sys - Rootkit.Win32.Agent.pu (DrWEB: Trojan.NtRootKit.49
  3. \\necsopp.sys - Rootkit.Win32.Agent.pu (DrWEB: Trojan.NtRootKit.49