после проведения AVZ

[Deyv]

Такая штука ,замучил червь который делает папки с "exe "расширением

На вашем форуме нашел как отнего избавиться (AVZ в безопасном режиме)
После проведения процедуры выдал вот такое сообщение

++++++
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe "d:\windows\eksplorasi.exe""
Проверка завершена
Просканировано файлов: 96400, извлечено из архивов: 70232, найдено вредоносных программ 50
+++++++

Что это и надо ли с этим бороться?
Да еще снедавнего времени при выключении компа
он мне постоянно выдает ошибку завершения прграммы SERVICES.EXE
и не всегда dwwin.dll
даже если не было запущено никаких программ
После проведения AVZ ,при первом включении выдал сообщение
об ошибке программы Winlogon
на некоторых программах (Visual FoxPro) машинка поттормаживает до минуты
Да и что самое интересное ,пропал DrWeb ,точнее файл запуска как со стола так из директории где установлен он (демо версия)
Именно он мне нашел червя который создавал папки и вырубал комп при запуске некотрых файлов

Спасибо

[drongo]

eksplorasi.exe часть от червяка , так что нужны логи по правилам , тогда и будет микстура для лечения

[Deyv]

высылаю логи

да ,еще я по глупости удалил те вирусные файлы drwebом
(winlogon,explorer и тд)
теперь пропал рабочий стол
что делать ?

через "восстановление системы" из папки restore пакета WINDOWS
никаким задним числом это не сделать
через AVZ тоже не получается

помогите,Спасибо

[drongo]

Совет : не удалять , то что не просят
насчёт рабочего стола :
http://z-oleg.com/secur/advice/adv1103.php

Найти и прислать :
D:\DOCUME~1\shop71\LOCALS~1\Temp\Rar$EX00.156\1.ex e

Пофиксить :

Код:

2 - REG:system.ini: Shell=
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <script LANGUAGE="JavaScript">
O1 - Hosts: <!--
O1 - Hosts: if (window != top)
O1 - Hosts: top.location.href = location.href;
O1 - Hosts: // -->
O1 - Hosts: </script>
O1 - Hosts: <title>Site Unavailable</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
O1 - Hosts: <style type="text/css">
O1 - Hosts: body{text-align:center;}
O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}
O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}
O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}
O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}
O1 - Hosts: .bodywrap{display:block;height:470px;}
O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}
O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}
O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:pointer;cursor:hand;}
O1 - Hosts: .adcnt td {text-align:left;}
O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:default;margin-top:5px;}
O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}
O1 - Hosts: .ybadge img {margin-top:6px;}
O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}
O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}
O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}
O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}
O1 - Hosts: </style>
O1 - Hosts: </head>
O1 - Hosts: <body>
O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
O1 - Hosts: <div id="maincnt">
O1 - Hosts: <div class="geohead"><div id="geologo"><a href="<A href="http://geocities.yahoo.com"><img">http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/...a/ma_geo_1.gif" width=259 border=0></a></div>
O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="<A href="http://geocities.yahoo.com">GeoCities">http://geocities.yahoo.com">GeoCities Home</a> - <a href="<A href="http://www.yahoo.com">Yahoo!</a">http://www.yahoo.com">Yahoo!</a> - <a href="<A href="http://help.yahoo.com/help/us/geo/">Help</a></div">http://help.yahoo.com/help/us/geo/">Help</a></div>
O1 - Hosts: </div></div>
O1 - Hosts: <div class="bodywrap">
O1 - Hosts: <div class="bodycnt">
O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>
O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>
O1 - Hosts: <p>Are you the site owner?
O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!
O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/tr...ansfer-05.html" target="_blank">Find out how.</a> </p>
O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/" target="_blank">Learn more about data transfer.</a></p>
O1 - Hosts: </div>
O1 - Hosts: <div class="adcnt">
O1 - Hosts: <a target="_top" href="<A href="http://geocities.yahoo.com"><img">http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/...ast_small2.gif" alt="Yahoo! GeoCities" border="0" height="15" hspace="0" vspace="0" width="141"></a>
O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>
O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain &amp; 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.ya...com/webhosting" target="_blank">Yahoo! Web Hosting<br>
O1 - Hosts: $25 Setup Waived</a></div>
O1 - Hosts: <div class="addescr" title="Reliable plans include domain &amp; 24x7 support.">Reliable plans include domain &amp; 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Reliable plans include domain &amp; 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.ya...com/webhosting" target="_blank">webhosting.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain &amp; 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.ya...o.com/domains/" target="_blank">Domain Names from Yahoo! only $9.95/yr</a></div>
O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.ya...o.com/domains/" target="_blank">domains.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.ya...yahoo.com/mail" target="_blank">Yahoo! Business Email<br> Domain Included</a></div>
O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding &amp; virus scanning.</div>
O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.ya...yahoo.com/mail" target="_blank">smallbusiness.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.ya...o.com/merchant" target="_blank">Ecommerce from Yahoo!<br> 1 Month Free</a></div>
O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.ya...o.com/merchant" target="_blank">smallbusiness.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="ybadge">
O1 - Hosts: Get your own web site at <br><a target="_top" href="<A href="http://geocities.yahoo.com">Yahoo">http://geocities.yahoo.com">Yahoo! GeoCities</a>
O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/" target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/...dby_purp_2.gif" alt="Hosted by Yahoo! Web Hosting" align="middle" border="0" height="31" width="88"></a>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: <div class=ftr>
O1 - Hosts: <hr size=1 width=100%>
O1 - Hosts: Copyright &copy;
O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>
O1 - Hosts: <a href="<A href="http://privacy.yahoo.com/privacy/us/geo/">Privacy">http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a>
O1 - Hosts: - <a href="<A href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright">http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a>
O1 - Hosts: - <a href="<A href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a">http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a>
O1 - Hosts: - <a href="<A href="http://docs.yahoo.com/info/terms/geoterms.html">Terms">http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a>
O1 - Hosts: - <a href="<A href="http://help.yahoo.com/help/us/geo/">Help</a">http://help.yahoo.com/help/us/geo/">Help</a>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </body>
O1 - Hosts: </html>
O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039...38575&f=us-w57" ALT=1 WIDTH=1 HEIGHT=1>

Код:

O4 - Startup: Empty.pif = ?
O21 - SSODL: mspu32.dll - {4F4C3FC2-35DC-B18C-7F6A-A8C7E5BB6D38} - (no file)

Затем выполнить это :

http://z-oleg.com/secur/advice/adv1086.php
http://z-oleg.com/secur/advice/adv1096.php

[Зайцев Олег]

И еще:
1. Пришлите файлы для изучения:
D:\Documents and Settings\shop71\Главное меню\Программы\Автозагрузка\Empty.pif
D:\PROGRA~2\Sony\SONICS~1\SsAAD.exe
D:\WINDOWS\system32\plugincpl131_06.cpl
D:\Program Files\Common Files\Sony Shared\GMR\LocalGMRMan.dll
2. Файл D:\МИХАЙЛО\Новая папка\Price_new_16_04_05.zip нужно удалить, это почтовый червяк

[drongo]

Олег опередил
ещё вот этот должен быть трояном :

D:\Documents and Settings\shop71\Шаблоны\Brengkolang.com

Обязательно прислать !

[Deyv]

D:\DOCUME~1\shop71\LOCALS~1\Temp\Rar$EX00.156\1.ex e
не нашел

зато там же есть похожий

[anton_dr]

Запрошенные файлы следует отправлять согласно правилам, а не прикреплять заразу к сообщениям.


Файл сохранён как 061016_063411_123_453360232c7d5.zip
Размер файла 246765
MD5 ca87b5f69559bef46da78ba0f9f32bda

[Deyv]

файлы для Олега

упс извините
тогда все здесь

Опять их приатачили Удалил папку "файлы для олега "
Загрузить по правилам !

[Deyv]

запутался совсем

рабочий стол так и не заработал
все сделал как описано выше

[AndreyKa]

запутался совсем

рабочий стол так и не заработал
все сделал как описано выше

Присланные файлы:
Brengkolang.com - BackDoor.Generic.1138
1.exe из папки Rar$EX00.469 это утилита HijackThis

Нужно было уже пофиксить в HijackThis строки, указанные в посте #4.

Файл
D:\Documents and Settings\shop71\Шаблоны\Brengkolang.com
удалить. Задание планировщика задач для этого файла тоже удалить.