Buzus.bolj

[MiKXMan]

стоит КИС 8 с свежими базами.
Сначала при каждом ребуте компа показывало сообщение о том, что sysdate пытается внедрится в процесс explorer.exe
Появилось интернет соедениние z-connect
Теперь при каждом подключение к инету вылазят сообщения от КИСа

18.07.2009 0:00:32 Запрещено: ecolavage.fr/*.exe Проводник Базы

18.07.2009 16:52:01 Обнаружено: Trojan.Win32.Buzus.bolj Проводник [

Несколько раз нашло в темп папках файлы dol4[3].exe, 890.exe и т.д. все с бузус вирусом.
прошелся полным сканированием - ничего не нашло

логи прилагаю

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-9717482422-4113942505-781600370-2566\sysdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
 DeleteFile('C:\RECYCLER\S-1-5-21-9717482422-4113942505-781600370-2566\sysdate.exe');
 DeleteFileMask('%Tmp%', '*.*', true); 
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[MiKXMan]

после ребута и начала сбора новых логов КИС выдал вот такое


19.07.2009 6:11:09 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[1].exe
19.07.2009 6:11:18 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[1].exe
19.07.2009 6:11:19 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[2].exe
19.07.2009 6:11:19 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[2].exe
19.07.2009 6:11:20 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[3].exe
19.07.2009 6:11:20 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[3].exe
19.07.2009 6:11:20 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[4].exe
19.07.2009 6:11:20 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[4].exe
19.07.2009 6:11:20 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\98MKMWD7\dol4[1].exe
19.07.2009 6:11:20 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\98MKMWD7\dol4[1].exe
19.07.2009 6:11:21 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\MPMR087X\dol4[2].exe
19.07.2009 6:11:21 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\MPMR087X\dol4[2].exe

Почистил все темпы ИЕ(хотя им не пользуюсь вообще, странно О_о)

[Bratez]

В логах больше ничего подозрительного.
Подключение z-connect удалите.

Рекомендуется также удалить Bonjour.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-1-5-21-9717482422-4113942505-781600370-2566\sysdate.exe - P2P-Worm.Win32.Palevo.ied ( DrWEB: Trojan.Packed.541 )