Подозрение на вирус

[Skylod]

Есть подозрения на заражение системы какой-то дрянью:
Сначало стали появляться окна IE с рекламой, при проверке системы антивирусом KAV 8.0.0.506 был найден файл jwtch32.exe (в системной папке Windows) зараженный HEUR:Trojan.Win32.Generic лечить сие чудо KAV отказался на отрез даже с отключенным восстановлением системы однако с 5 попытки все-таки кинул его в карантин целиком ....
При этом IE постоянно ломится в инет пришлось рубить доступ ему Outpost'oм ...
При проверке системы утилитой AVZ найдено еще много подозрительных файлов...
Посмотрите плизз что за зверь такой завелся, и главное как его прибить?

[Aleksandra]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\WMPSrkbd.exe','');
end.

Пришлите нам карантин по правилам. Ссылка для загрузки вверху темы.

[Skylod]

скрипт выполнил, карантин отправил

[Aleksandra]

Присланный файл скорее всего чистый. В логах нет ничего подозрительного.

Добавлено через 1 минуту

при проверке системы антивирусом KAV 8.0.0.506 был найден файл jwtch32.exe (в системной папке Windows) зараженный HEUR:Trojan.Win32.Generic

Попробуйте поискать его на диске и если найдете, то пришлите его нам.

[Skylod]

файл отправил в архиве
не знаю почему но KAV сам восстановил его из карантина
пришлось при помощи Linux'a удалить его из папки теперь вроде как все стало спокойно...
Проверил файл на VirusTotal детектируют как зловреда 7 сканеров из 41 (Касперский молчит как партизан)

Добавлено через 4 минуты

вот еще KAV начал выдавать в отчетах
05.07.2009 3:56:20 Обнаружено: Hidden object 93BB9.EXE
05.07.2009 3:56:53 Обнаружено: Hidden object 93BB9.EXE
05.07.2009 3:57:26 Обнаружено: Hidden object 93BB9.EXE
и т д
хотя такого файла нет и в помине

[Aleksandra]

файл отправил в архиве

Карантин у нас. Реакция KIS 2009=Подозрение HEUR:Trojan.Win32.Generic, но это не детект а эвристик. Подождем ответа из вир. лаба.

[Skylod]

не дождавшись ответа решил идти по принципу "помоги себе сам"
1) ответ лаборатории Касперского на отправленный файл:
35515423_124475766_jwtch32.exe_ - Trojan-Dropper.Win32.Small.doa
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
2) прогнал всю систему с отключенным восстановлением на максимальных настройках KAV (после обновления базы)
3) удалил расширения из IE утилитой AVZ (номерные которым не было соответствия файлов)
4) удалил файл 93BB9.EXE из С:\Windows\Downloaded Program Files\ (для удаления пришлось включить отображение скрытых файлов и папок)
удалял в безопасном режиме (иначе никак - при перезагрузке экзешник снова был "живее всех живых")
5) в безопасном режиме под системной учетной записью Администратора с папки для учетной записи под которой постоянно нахожусь удалил доступ для "неизвестной учетной записи" (C:\Documents and Settings\....)
6) часть настроек IE оказалась заблокированной пришлось шаманить реестр:
в ветке
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\CurrentVersion\Internet Settings]
удалил параметр
"Security_HKLM_only"=dword:00000001
и тут
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Int ernet Explorer\Restrictions]
удалил
"NoPopupManagement"=dword:00000001
это дало возможность настроить уровни безопасности для различных зон, а также настроить блокировку всплывающих окон....
--------------------------------------------
вот и собственно и все

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. \jwtch32.exe - Trojan-Dropper.Win32.Small.doa