Надстройки IE

Добрый день, взгляните, пожалуйста, на логи - "неродные" надстройки в IE (море поддельных сообщений о вирусах).
Также в корне c: лежит файл x.exe длиной 24576 байт и chkit длиной 5 байт (появляются снова после удаления).

Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{DF597208-865D-429C-922C-04A5C67C4419}');
DelBHO('{7490ED73-A97A-4D30-91CF-94319425B135}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
QuarantineFile('C:\Documents and Settings\guru\Application Data\uninstall.exe','');
QuarantineFile('C:\WINDOWS\system32\urqNETnO.dll','');
QuarantineFile('C:\WINDOWS\system32\qoMfGvtS.dll','');
DeleteFile('C:\WINDOWS\system32\qoMfGvtS.dll');
DeleteFile('C:\WINDOWS\system32\urqNETnO.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Выслать карантин по [url]http://virusinfo.info/upload_virus.php?tid=40359[/url]

[QUOTE]
Результат загрузки
Файл сохранён как 090224_155127_virus_49a3ed4f3cb3d.zip
Размер файла 274901
MD5 282fb08522e5eeb82f17f205a80bbcfc
Файл закачан, спасибо![/QUOTE]

Логи прилагаю (в hijackthis уже пофиксил те missing files).

Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\guru\Application Data\uninstall.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.

[QUOTE]
Результат загрузки
Файл сохранён как 090224_165220_virus_49a3fb94d27fc.zip
Размер файла 7627
MD5 8e0cee3bff22d40042f37c31e9c69c92
Файл закачан, спасибо![/QUOTE]

Логи прилагаю. Рядом с uninstall обнаружил файлик с названием m (одна буква), в ней аккуратный список сайт - логин - пароль. Видимо, результат работы кейлоггера.

Забыл лог hijackthis

Профиксить:
O20 - Winlogon Notify: qoMfGvtS - qoMfGvtS.dll (file missing)

L:\autorun.inf - если флешка, то файл прислать на проверку

[QUOTE]
Результат загрузки
Файл сохранён как 090224_172738_virus_49a403da7cd28.zip
Размер файла 48157
MD5 12e566d729fb5db1806da5274b19760f
Файл закачан, спасибо![/QUOTE]

это Autorun.inf, думаю, там свежий вирус :)

uninstall.exe - Trojan-Downloader.Win32.VB.ksr - то, что убили.

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('L:\autorun.inf');
RebootWindows(true);
end.[/CODE]

Автозапуск флешек желательно отключить. См. тему в "Чаво"

Спасибо, лечение выполнено успешно.

Логи повторите с флешкой.

В windows\system32 обнаружил файлы x2.exe, x4.exe, x5.exe
Упаковал в карантин
[QUOTE]
Результат загрузки
Файл сохранён как 090225_112728_virus_49a500f03a024.zip
Размер файла 431264
MD5 b2a7168cdd927e686871fc8119f6cb46
Файл закачан, спасибо![/QUOTE]

AVZ4 не обнаруживает в них ничего, а Dr.Web 4.44 (лицензия) находит в x2.exe Trojan.DownLoader.56730

C:\WINDOWS\system32\x2.exe-[B]Trojan-Downloader.Win32.VB.hvw [/B]
C:\WINDOWS\system32\x4.exe-[B]Trojan.Win32.Buzus.anag[/B]

C:\WINDOWS\system32\x5.exe- недетектируется Касперским...

Свежие логи.

В логах ничего плохого...

Спасибо, считаем лечение завершённым.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\guru\application data\uninstall.exe - [B]Trojan-Downloader.Win32.VB.ksr[/B][*] c:\windows\system32\qomfgvts.dll - [B]Trojan.Win32.Monder.bhtg[/B][*] c:\windows\system32\urqnetno.dll - [B]Trojan.Win32.Monder.bhsb[/B][*] c:\windows\system32\x2.exe - [B]Trojan-Downloader.Win32.VB.hvw[/B] (DrWEB: archive: Trojan.DownLoader.56730)[*] c:\windows\system32\x4.exe - [B]Trojan.Win32.Buzus.anag[/B][*] c:\windows\system32\x5.exe - [B]Trojan-PSW.Win32.VB.agx[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]