Вирус: explorer.dll и сопутствующие

Printable View

05.08.2008, 09:14
gol

Вложений: 3

Вирус: explorer.dll и сопутствующие

Вот такая картина заражения, прошу помощи.
05.08.2008, 09:21
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\глушко.OFFICE\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('D:\Documents and Settings\глушко.OFFICE\svchost.exe','');
QuarantineFile('D:\Documents and Settings\LocalService\svchost.exe','');
DeleteService('Schedule');
QuarantineFile('d:\windows\system32\drivers\services.exe','');
DeleteFile('d:\windows\system32\drivers\services.exe');
DeleteFile('D:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('D:\Documents and Settings\глушко.OFFICE\svchost.exe');
DeleteFile('D:\Documents and Settings\глушко.OFFICE\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('D:\WINDOWS\system32\vhosts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
05.08.2008, 09:57
gol

Вложений: 3

Повторяю логи

1
05.08.2008, 10:05
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('autorun');
QuarantineFile('c:\huadio.tmp','');
DeleteFile('c:\huadio.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи начиная с пункта 10 правил ...
05.08.2008, 10:25
gol

Вложений: 2

высылаю...
05.08.2008, 11:22
V_Bond

пофиксите ...
[code]
O20 - Winlogon Notify: arm32reg - D:\WINDOWS\
[/code]
больше ничего плохого ...
05.08.2008, 14:36
gol

профиксил, перезагрузился, запустил еще раз HijackThis.exe - в его логе эта строчка осталась...
Остальное вроде нормально. Нет, стоп, служба "Планировщик заданий" исчезла из списка служб....
05.08.2008, 14:41
V_Bond

hijackthis.log сделайте...
05.08.2008, 15:23
gol

Вложений: 1

вот он
05.08.2008, 15:53
V_Bond

выполните скрипт ...
[code]
begin
DeleteFile('arm32reg');
DelWinlogonNotifyByFileName('arm32reg');
DeleteFile('arm32.dll');
DelWinlogonNotifyByFileName('arm32.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите hijackthis.log
06.08.2008, 07:23
gol

Вложений: 1

прилагаю, не удаляется, зараза...
06.08.2008, 09:12
V_Bond

... попробуйте пуск выполнить regedit ... поиск по реестру arm32reg , затем удалите что найдется ...
06.08.2008, 10:12
gol

Спасибо, удалил...
22.02.2009, 06:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\localservice\\svchost.exe - [B]P2P-Worm.Win32.Socks.fe[/B] (DrWEB: Win32.HLLW.Alupco.1)[*] d:\\documents and settings\\глушко.office\\svchost.exe - [B]P2P-Worm.Win32.Socks.fe[/B] (DrWEB: Win32.HLLW.Alupco.1)[*] d:\\documents and settings\\глушко.office\\главное меню\\программы\\автозагрузка\\userinit.exe - [B]P2P-Worm.Win32.Socks.fe[/B] (DrWEB: Win32.HLLW.Alupco.1)[*] d:\\windows\\system32\\drivers\\services.exe - [B]P2P-Worm.Win32.Socks.fe[/B] (DrWEB: Win32.HLLW.Alupco.1)[/LIST][/LIST]