троянский вощщь

[Revan1]

Собсно сабж - подвёл меня каким-то образом мой др.веб и пропустил на комп страшное зло и теперь постоянно ругается на появляющийся из тырнета файл С:\temp_file_bin без расширения, причём когда подключение к интернету нет - всё тихо и мирно, как в оккупированной германии Причём что интересно - активность скачивания этого файла из интернета проявляется в послеобеденное время, а вечером и утром - тишина, В общем к моменту составления логов этого безобразия на компе небыло, и сейчас нет. Ну ещё плюс постоянно образующиеся виревы темпы в Content.IE5 Прошёлся Курилкой по бездорожью - поудалял с десяток экзешников с рандомными именами из system32 - не помогло.

Да, в логах хайджека можно увидеть сколько процессов iexplore запущено, иногда бывает даже больше, хотя IE я вообще не юзаю.

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 TerminateProcessByName('c:\program files\vksaver\vksaverupdater.exe');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
 QuarantineFile('C:\PROGRA~1\EASYSE~1\BHO\12SUPE~1.DLL','');
 QuarantineFile('\\?\globalroot\systemroot\system32\w3RlWxp.exe','');
 QuarantineFile('C:\WINDOWS\system32\w3RlWxp.exe','');
 QuarantineFile('C:\WINDOWS\system32\f699b3.exe','');
 QuarantineFile('c:\program files\vksaver\vksaverupdater.exe','');
 DeleteFile('C:\WINDOWS\system32\f699b3.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\w3RlWxp.exe');
 DeleteFile('C:\WINDOWS\system32\w3RlWxp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(16);
ExecuteRepair(8);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.

[Revan1]

vksaver - это приблуда для пользования vkontakte, по сути дела я про неё даже забыл, по этому щас снёс, так что в карантине её нет.
w3RlWxp.exe и им подобные плодятся и дохнут как мухи, так что АВЗ пару раз ошибок понадавал об ихнем отсутствии.
Карантин залил

[Revan1]

Вот и скрипт с лечилкой прошёл

[миднайт]

Нужно дождаться вердикта по одному из файлов. В целом скрипт отработал хорошо. Выполните скрипт во вложении, результат выполнения из корня диска С c:\avz_log.txt или из папки AVZ\Log прикрепите к сообщению.
Вложение 224220
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

[Revan1]

Скрипт выполнил, уязвимости обнаружены только в аdобе.
Помочь не получается, АВЗ карантину на 140 метров натырил

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения вредоносные программы в карантинах не обнаружены