В автозапуске непонятная программа "c:\windows\system32:vcrt80.exe"

[hooke]

Здравствуйте!

При загрузке компьютера, после ввода пароля, слева вверху появилось окошечко "Личные параметры" с текстом:

Код:

Установка личных параметров для:
C:\WINDOWS\system32:vcrt80.exe

Потом ругается о неожиданном завершении процесса C:\WINDOWS\system32:vcrt80.exe.

Система была Windows XP SP2 , антивирус стоял NOD32 v2.70

Dr.Web CureIt! нашел некоторых BackDoor.Poison.685 & BackDoor.IRC.Sdbot.4658, удалил.

В автозапуске оказалась строка:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vcrt80.dll"="C:\\WINDOWS\\system32:vcrt80.exe"

Я ее удалял, но при перезагрузке она появилась опять.

Установил SP3 для Windows XP, ESET Antivirus 4. При запуске проверки Eset Antivirus выдал странную строку "C::vcrt80.exe - error opening [4]"

Гугл привел на вирусинфо, поэтому, выполнив все правила, прикрепляю логи. Помогите, пожалуйста!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32:vcrt80.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
 DeleteFile('C:\WINDOWS\system32:vcrt80.exe');
 DeleteFile('C:\WINDOWS\system32:vcrt80.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2}');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=43815).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[hooke]

Спасибо за супер-оперативность!

Скрипт выполнил, карантин загрузил:

Код:

Результат загрузки
Файл сохранён как	090414_165333_virus_49e4874d56a9d.zip
Размер файла	58147
MD5	abc2c03e82a7b070a4f69b688657e410
Файл закачан, спасибо!

Логи сделал, прилагаю.

[Bratez]

Этот странный vcrt80.exe успешно ликвидирован.
Забавно, но вирусологи не нашли в нем вредоносного кода...

[hooke]

Этот странный vcrt80.exe успешно ликвидирован.

Спасибо!

Забавно, но вирусологи не нашли в нем вредоносного кода...

Что ли, проба пера начинающего хакера какая-то??

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32:vcrt80.exe - Backdoor.Win32.Poison.zlm
  2. c:\windows\system32:vcrt80.exe - Backdoor.Win32.Poison.zlm ( DrWEB: BackDoor.Poison.685 )
  3. c:\windows\system32:vcrt80.exe:$data - Backdoor.Win32.Poison.zlm ( DrWEB: BackDoor.Poison.685 )
  4. c:\windows\system32:vcrt80.exe:$data - Backdoor.Win32.Poison.zlm