uFast Download Manager

Словил [URL="http://virusinfo.info/showthread.php?t=58868"]аналогичного виря[/URL]. Запрос отправить смс и отключение всех сетевых адаптеров. Так же закрыт доступ к диспетчеру задач. Руками в реестре снял запрет на запуск диспетчера, прибил процесс propet~.exe и удалил сами файлы. Сетку восстановил, окно с запрос отправить смс не появляется. Всё работает за исключением браузеров. Firefox и Opera вылетают с ошибкой при открытии. IE иногда закрывается, иногда нет, но страницы толком не посмотреть, на попытку открыть страницу может кратковременно появиться ее содержимое, а потом вкладка закрывается с сообщением от IE, что вкладка была закрыта вероятно какими-то вредоносными программами.

Заметил, что если, скажем, файл firefox.exe или opera.exe переименовать в другие, то соответствующие браузеры работают. Т.е. вирь подцепляется по имени запущенного файла. Для проверки взял стандартный блокнот notepad.exe, переименовал его в firefox.exe и запустил. Процесс сразу начал грузить систему и шустрить по винту.

Подскажите как найти, какая зараза цепляется к файлам по именам ?

P.s. Логи выполнения рекомендуемых на данном сайте утилит приложить не могу, в силу того, что пока не имею доступа к проблемному компьютеру. Как только доберусь - сразу отправлю. А пока может быть кто-то и по описанной ситуации может дать совет ?

Нет, без логов никак. Можете сами кофе заварить и погадать на гуще, будет тот же результат.

Заварил кофе, погадал. Вот логи :)

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\winsrv32.exe','');
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Отправил

Ждем ответ от вирлаба

[QUOTE=thyrex;505374]Ждем ответ от вирлаба[/QUOTE]
Это что за зверь ?

Это место, где зверей препарируют.

Главный мозг, который решает кому жить, кому умереть ? :) Я просто не в курсе организации местной иерархии. Кто кого от чего лечит и кто таблетки назначает. Но вирлаб - видимо главврач :) Если не директор клиники.

Вирлаю - это лаборатория, где исследуют новые вирусы ;)

А долго ли по статистике в среднем приходится ждать ответа от всемогучего вирлаба ?

Уже :)

1. Пофиксите в hijackthis:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe printer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ALEXAN~1\APPLIC~1\UFASTD~1\PROPET~1.EXE[/CODE]

2.Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\winsrv32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Urgent System Check');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится

Сделайте новые логи

Премного благодарен. Лиса, опера и ослик заработали :) Если новые логи необходимы - могу выслать в ближайшее время.

Дык:
[QUOTE=Venus Doom;506737]Сделайте новые логи[/QUOTE]

На радостях восстановил старый профиль от Firefox и он предложил открыть аварийно закрытые последний раз страницы. И тут снова словил уФаста. Попытки самолечения успехом не увенчались. Логи прилагаю.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

С остальным справился AVZ похоже

Сделайте новые логи

:censored:

Пофиксить в HiJack
[CODE]O2 - BHO: D - {1E7E36E6-B7BF-3768-A3F3-8DA55E1EE651} - (no file)[/CODE]Больше плохого не видно

Что с проблемой?

[QUOTE=thyrex;507727]Пофиксить в HiJack
[CODE]O2 - BHO: D - {1E7E36E6-B7BF-3768-A3F3-8DA55E1EE651} - (no file)[/CODE]Больше плохого не видно
[/QUOTE]

А что в этом ^ плохого, если не секрет ?

[QUOTE=thyrex;507727]Что с проблемой?[/QUOTE]
Браузеры запускаются. Вот только желания открывать проблемную страницу отпало :)

[QUOTE]А что в этом ^ плохого, если не секрет ?[/QUOTE]Лишние записи в реестре не на пользу