Вирус IEXPLORE

[BlackZorro]

В общем, заметил я странную активность сетевую, стал разбираться. Обнаружил, что процесс IEXPLORE.EXE висит в диспетчере задач и все время идет увеличение по количеству его запусков.

Если процесс грохнуть, то он снова воскрешается.

Перепробовал кучу антивирусов ничего они не находят.

Все время вылезает сообщение: Из-за проблемы на веб-странице обозреватель IE закрыл и открыл ее снова.

Как замочить вирусняк?

Прикладываю файлы

Заранее спасиьо за помощь

[Kuzz]

У нас в правилах где то указан SysInspector?

Сделайте логи в AVZ

[BlackZorro]

Добрый вечер,


добавляю необходимые файлы

[Rene-gad]

Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('esihdrv');
 QuarantineFile('digeste.dll','');
 QuarantineFile('C:\DOCUME~1\ALEXAN~1.ALE\LOCALS~1\Temp\esihdrv.sys','');
 QuarantineFile('ytfrtjv.sys','');
 DeleteFile('ytfrtjv.sys');
 DeleteFile('C:\DOCUME~1\ALEXAN~1.ALE\LOCALS~1\Temp\esihdrv.sys');
 DeleteFile('C:\windows\system32\drivers\ytfrtjv.sys');
 DeleteFile('digeste.dll');
 DeleteService('esihdrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('esihdrv');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[BlackZorro]

Прошу прошения

Как отключить Системное восстановление и

что значит выгрузить все программы ( из диспетчера задач закрыть все процессы)?

Базы обновил

[Kuzz]

Как отключить восстановление системы. или приложение №1 Правил

что значит выгрузить все программы

Закрыть все программы, которые находятся в трее - нажать правой кнопкой мыши на символ в трее, из открывшегося попап-меню выбрать Выгрузить/Выйти/Отключить - варианты от программы к программе различны.

[BlackZorro]

Загружаю новые логи

Файл сохранён как090810_214608_virus_4a805ce05c945.zipРазмер файла318769MD554dbc7954113f7a565ec9bc6b10a91ae

Также есть вопрос по работе Каспера

при включенном Каспере IE не грузит страницы

версия 8.0.0.454

стоит еще Nod32 но в триальной версии и не на диске С

[Rene-gad]

стоит еще Nod32 но в триальной версии и не на диске С

Если он активен как антивирус в этой ОС - удалите его.
Если он запускается только в другой ОС, где нет Каспера - то пусть стоит.

На всякий случай выполните скрипт

Код:

begin
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(13);
RebootWindows(true);
end.

Сообщите, заработало ли соединение через ИЕ.

[BlackZorro]

Соединение через ИЕ заработало

НоД 32 снес

Хотел узнать что по последним логам и запрошенному карантину?

Все ок комп вылечен и включать ли системное восстановление?

Добавлено через 54 минуты

Поставил файервол Аутпост в дополнение к Касперу

Если их выгрузить то все работает

теперь ИЕ не грузит страницы в чем причина?

И при загрузке система все время находит какое-то оьорудование и пытается его установить что это?

Помогите пожалуйста разобраться

[Rene-gad]

Соединение через ИЕ заработало

OK

НоД 32 снес

Хозяин - барин

Хотел узнать что по последним логам

Ничего враждебного

и запрошенному карантину?

C:\Downloads\PartyPokerSetup.exe - чистый, других файлов для анализа в этой теме не поступало.

Все ок комп вылечен

В логах ничего подозрительного.

включать ли системное восстановление?

как хотите.

Поставил файервол Аутпост в дополнение к Касперу
Если их выгрузить то все работает. теперь ИЕ не грузит страницы в чем причина?

причина в том, что Вы

Поставил файервол Аутпост в дополнение к Касперу

Пока Вы этого не делали

Соединение через ИЕ заработало

при загрузке система все время находит какое-то оьорудование и пытается его установить что это?

Удалите его через диспетчер оборудования.

[BlackZorro]

Огромное спасибо за помощь и консультации



На вашем сайте прочитал, что лучше всего ставить связку Антивира и файервола

Подскажите как сделать чтобы Каспер работал с Аутпостом?

[Rene-gad]

Подскажите как сделать чтобы Каспер работал с Аутпостом?

rtfm одного и второго или обратитесь в соотв. отделы технической поддержки или форумы.

[BlackZorro]

Что значит rtfm ?

[Rene-gad]

Что значит rtfm ?

http://ru.wikipedia.org/wiki/RTFM

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены