Странный вирус :-*

сеть, известно что заражено 3 машины. вирус вначале не давал о себе знать, при открытии в ИЕ 7 более 10-12 вкладок подвисал сам ие, при повторном запуске запускался сразу подвешеным, при третем запусте забирал с собой еще експлорер, впрочем после зависанияя ие и принудительном завершении процесса невозможно запустить не одну программу, эффект тот же. помгает только ребут или логаут. спустя какое то время стал подвисать ИЕ являющийся открытым продолжительное время. При выполнении ребута\логаута, редко вылезает окно принудительного завершения програмы со "смайликом" в названии ( :-* , :) , :( ).
важно это или нет, есть еще один вирус не доставляющий неудобства: он заражает РЕ файлы с расширеием .ехе, что бы удалить его достаточно запустить зараженный файл и вирус копируется в папку виндовс под именем svchost.exe. защита от него создание папки с таким же именем. вот све руки не доходят от него избавится... Был еще хак тулз название которого не помню, удалил вручную папку с ним (rose.sys и hifld.exe) и ключи реестра все по поиску на rose.

1. Деинсталлируйте ConnectionServices и BitAccelerator - это adware.
2. Сделайте [b]полную[/b] проверку компьютера свежим CureIt ([url]http://www.drweb.ru/download/51/[/url]) в безопасном режиме.
3. Обновите базы AVZ и повторите логи.

Вот.

выполните скрипт ...
[code]
begin
QuarantineFile('D:\Program Files\Zango\bin\10.3.36.0\HostIE.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Карантин прислал, занго удалил т.к. не используется.

HostIE.dll - [B]Adware:Win32/ZangoShoppingreports[/B]
повторите логи начиная с пункта 10 правил ...

вот

Сделал лог зависшего ие через процес эксплорер. в этот раз зависле только одна вкладка.
файл B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat со странным именем и еще более странном месте нахождении
D:\Documents and Settings\SWiTCh1\Local Settings\Temporary Internet Files\AntiPhishing\
как залогить его действия?

Выполни вот этот скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('LMIinit.dll','');
QuarantineFile('D:\WINDOWS\svchost.exe','');
QuarantineFile('D:\PROGRA~1\COMMON~1\FNTS~1\alg.exe','');
QuarantineFile('D:\Установка WINA\ду\WinLIRC-0.6.5-RU\winlirc.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузи карантин.

Прислал, svchost.exe это вирус jeefo с ним живу 6 лет, особо не беспокоит, писал о нем в первом сообщении

D:\WINDOWS\svchost.exe Virus.Win32.Hidrag.a - он безобидный ...конечно ...
віполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
лучше бы пролечится касперским ...
обновления windows регулярно устанавливаете ?

этот скрипт будет бесполезен т.к. при очередном запуске зараженной программы svchost в фолдере виндовс вновь создатся, или при блокировании создания файла зараженная программа не запустится.
касперский не вариант, т.к. на одной из зараженных машин стоит 7 с постоянно обновляемыми базами.
обновление отключено после первого запуска.

да ну .... ;)
если сделать совсем все правильно ...
[url]http://avptool.virusinfo.info/ru/AVPTool_manual.htm[/url] в безопасном режиме ...
или создать диск аварийного восстановления на машишине с установленным касперским ...

есть другой вариант без инсталяции антивыря? касперского не люблю за то что слишком много записей в реестре делает которые не удалются черз деинстал, а в ручную времени нет морочится

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\svchost.exe - [B]Virus.Win32.Hidrag.a[/B] (DrWEB: Win32.HLLP.Jeefo.36352)[/LIST][/LIST]