VBS:Malware-gen

[FONT=Times New Roman][SIZE=3]Доброго времени суток![/SIZE][/FONT]
[FONT=Times New Roman][/FONT]
[FONT=Times New Roman][SIZE=3]Помогите, пожалуйста![/SIZE][/FONT]
[FONT=Times New Roman][/FONT]
[FONT=Times New Roman][SIZE=3]После запуска Avast находит вирус VBS:Malware-gen в файле file.bat, который находится в корневом каталоге Windows. Файл удаляется, но после перезагрузки все повторяется. Другие вирусы Avast не находит. Проверил при помощи Dr Web, затем провел проверку, как описано в Ваших правилах. [/SIZE][/FONT]
[FONT=Times New Roman][/FONT]
[FONT=Times New Roman][SIZE=3]При выполнении проверки я Avast просто отключал, потому что он не выгружается...[/SIZE][/FONT]
[FONT=Times New Roman][/FONT]
[FONT=Times New Roman][SIZE=3]Спасибо![/SIZE][/FONT]
[FONT=Times New Roman][/FONT]

[FONT=Times New Roman][/FONT]

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Карантин выслал через "[URL="http://virusinfo.info/upload_virus.php?tid=28055"][COLOR=red][B]Прислать запрошенный карантин[/B][/COLOR][/URL]"

Новые логи прилагаю.

К слову, после перемещения services.exe в карантин сообщение о вирусе перестало появляться в Avast'е. Это действительно вирус или глюк Avast'a?

в логах чисто ...

А каратнтин вы получили? Это вирус? Я могу его удалять? После того, как этот файл переместили в карантин, Avast ругаться перестал.

[QUOTE=Alex Kit;267505]Я могу его удалять? [/QUOTE]а его уже быть не должно:
[CODE][B]DeleteFile[/B]('c:\windows\services.exe');[/CODE]
А что, Вы его видите в проводнике?

[FONT=Times New Roman][SIZE=3]Вообще-то я имел в виду удалить его из карантина, ведь он еще там, не так ли? Однако вы мне подсказали идею с поиском, и я пустил поиск по диску и нашел еще три файла с таким же названием в следующих каталогах:[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]windows\system32[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]windows\ServicePackFiles\i386[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]windows\system32\dllcache[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Кроме того, поиск выдал файлы [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]SERVICES.EXE-2B0DDD57.pf[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]SERVICES.EXE-2F433351.pf[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]в каталоге[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]windows\prefetch[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]Avast на них не ругается, но он и на тот файл, что в карантине, не ругался, так что это, наверное, не показатель…[/FONT][/SIZE]

тут системные ...
windows\system32
windows\ServicePackFiles\i386
windows\system32\dllcache

это зловреды нужно убивать ....
SERVICES.EXE-2B0DDD57.pf
SERVICES.EXE-2F433351.pf

Удалил. Спасибо!!!

[QUOTE=V_Bond;267595]
это зловреды нужно убивать ....
SERVICES.EXE-2B0DDD57.pf
SERVICES.EXE-2F433351.pf[/QUOTE]Это не зловреды, а следы их вызова в папке ..\windows\prefetch. В этой папке винда откладывает копии запущенных программ, чтобы ускорить их повторный запуск.
Управляется эта функция ключом реестра
[B]HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher [/B]
Возможные установки параметра DWORD:
0 - префетч выключен
1 - префетч только для приложений
2 - префетч только для бута системы
3 - префетч для приложений и для бута системы.

[FONT=Arial]К слову, сегодня опять возникла та же проблема. Снова появился этот system.exe в корне Windows, снова стал создавать VBS:Malware-gen в файле file.bat. Тупо удалить себя он не дал. Проблема решена запуском того же скрипта, но настораживат, что я второй раз ловлю один и тот же вирус, причем при посещении сайтов, на которых раньше точно никогда не был. И Avast этот system.exe в упор не видит. Возможно, недостаток антивируса?[/FONT]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Email-Worm.Win32.Joleee.c[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]