Запускается процесс iexplore.exe несколько раз сам по себе

Printable View

20.04.2011, 13:50
XTracer

Запускается процесс iexplore.exe несколько раз сам по себе

Здравствуйте!
Собственно сабж.

Windows 7 x64

процесс запускается 32битный
20.04.2011, 13:59
Nikkollo

Здравствуйте.

Скачайте свежую версию AVZ:
[url]http://z-oleg.com/avz4.zip[/url]

Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Сделайте лог AVZ заново и приложите.
20.04.2011, 14:00
XTracer

Вот
20.04.2011, 14:55
XTracer

прошу обратить внимание на это:

[IMG]http://s57.radikal.ru/i157/1104/c4/a7e0f2c22b5c.jpg[/IMG]

это Trojan-Clicker.VBS.Agent.ck, я прав?
20.04.2011, 18:38
Nikkollo

[QUOTE]Протокол антивирусной утилиты AVZ версии 4.32[/QUOTE]
У вас есть проблемы со скачиванием новой версии?

Выполните скрипт в AVZ:
[CODE]
begin
QuarantineFile('C:\Windows\system32\explorer.exe','');
QuarantineFile('C:\Windows\wscript32.exe','');
ExecuteWizard('TSW', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
21.04.2011, 07:07
XTracer

C:\Windows\wscript32.exe удалил вручную, из реестра тоже.
проблема исчезла. карантин проводника выслал на всякий случай.(110421_030722_quarantine_4daf9f6a4d680.zip)
21.04.2011, 18:22
Nikkollo

В карантине файл чистый.

[QUOTE='XTracer;784458']C:\Windows\wscript32.exe удалил вручную[/QUOTE]
Резервной копии этого файла не осталось?
21.04.2011, 19:37
XTracer

нет, я все через shift+del удаляю.

после удаления подумал что я мог бы дизассемблировать ехе'шник, чтобы узнать его функцию, но теперь его нет =)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

блин, вирус был в кряке проги UndeletePlus. Щас вышлю карантином wscript32.exe.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

не получилось запихать в карантин, вот архив с паролем virus [url]http://dl.dropbox.com/u/15117340/wscript32.rar[/url]

Дизассемблинг:
[url]http://dl.dropbox.com/u/15117340/Screenshot-188.jpg[/url]

Если интересно, вот расшифрованный скрипт вируса: [url]http://dl.dropbox.com/u/15117340/reversed.txt[/url] :)

Думает есть смысл жаловаться на них в отдел К? :)
21.04.2011, 19:49
Nikkollo

Ссылку сделайте неактивной.

Trojan.DownLoader2.25433 (DrWeb)
[url]http://www.virustotal.com/file-scan/report.html?id=1b07d95f3aa8ea1ea82a249eaef304d03bfd32b6c7871e086cf0b3792656b2fd-1303370265[/url]
22.04.2011, 19:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]