system iexplore.exe + Email-Worm.Win32.Scano.bd

Здравствуйте! Я подцепил вирусняк Email-Worm.Win32.Scano.bd

Причем подцепил я его в очень тупой ситуации пришло мне письмо от девушки, типа с ней я давно не виделся, обещал позвонить,но не позвонил, в письме она прикрепила якобы фотки с подругой, как они гуляли в парке.....ну я с дуру, не посмарев на размер файла (20кб!!!!!!), скачал его себе и запустил.........

После чего мой антивирь нортоновский (у мя их 2: один касперский 4.5, другой нортон, причем нортон стоит в мониторе, оба с последними базами) начал визжать, что мол вирус.... удалил вроде все норм... оставил я комп на некоторое время.... возвращаюсь и вижу, что комп мой пыхтит и старательно так выкачивает из нета какую-то фигню (за мое отсутствие он выкачал около 100 метров!!!!), залез я в оутпост фаер посмареть откуда и какая прога качает.....

Качал iexplore.exe с похожими айпишниками.... что-то вроде 66.215.**.** и бьет все по одному локальному порту (позже я заметил, что порты меняются при перезагрузке компа).... ладно думаю, заблочил этот порт, но с завидным упорством ie бьется в этот порт... переконнекчиваюсь и все норм....

Решил я тогда просканить комп антивирем, и тот нашел аж 300 с лишним тул вирусов того самого вируса Email-Worm.Win32.Scano.bd, причем нашел он его еще в windows/csrss.exe, удалив все, avp сказал готово, но тут начала брыкаться винда (!!!) сказав, мол защита целостности системных файлов.... начала че-то делать, потребовав при этом установочный диск.....

На следующий день та же фигня.... бьется ie в один порт пытаясь че-то закачать... причем у меня не было открыто ни одного окна эксплорэра.... залез в диспечер задач, а там IEXPLORE.EXE причем запущен system (!!!)... при убивании процесс востаналивается.... после я заблочил на оутпосте iexplore.exe и стал наблюдать, что он делает..... фаер стал отмечать: в интервале 15-20 мин iexplore.exe посылает данные по smtp на maila.microsoft.com и еще куда-то по локалке....

Зашел на viruslist.com почитал там о вире Email-Worm.Win32.Scano.b, выполнив инструкции по удалению, ничего не изменилось...

потом отчасти решил проблему.... с харда друга (с его операционки) удалил со своего харда зараженный csrss.exe, после чего запустил свою операционку.... Увидев, что дальше фона рабочего стола ничего загружаться не хочет, я запустил диспечер задач, увидел что explorer.exe не запускается, запустил regedit и почистил ту строку которую указывали на viruslist.com. после чего рестарт и "О ЧУДО!!! ОНО ЖИВОЕ!!!!" но так и не решил как быть с неубиваемым iexplore.exe

обнаружил очень интересную вещь.... порылся я в папке internet explorer и обнаружил там файлик iedw.exe ... причем если его удалить и завершить неубиваемый процесс iexplore.exe, то файлик востанавливается.... решил я его поискать в реестере и обнаружил, что оказывается этот файлик содержится в одном из пакетов обновлений..... причем если взять и переименовать iexplore.exe то он воссоздается новым..... и терь черт знает что делать: может этот iexplore полезный??? тогда нах он лезет в инет?? и если майкрософт решили сделать нам всем доброе дело, запуская iexplore.exe заранее, тогда нах он лезет в инет.... и если это все-таки с обновлением, то у всех ли висит процесс iexplore.exe????

Frum большая просьба, когда в следующий раз будете делать логи - позакрывайте всё, что у вас висит в трее :)

iedw.exe пришлите нам на анализ,
и ещё -

AVZ - "Файл"=>"Выполнить скрипт"
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
end.
[/code]

После выполнения зайдите в "Сервис"=>"Менеджер автозапуска"
и удалите оттуда все строки содержащие
[code]
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
[/code]

Затем перезагрузитесь не выходя их AVZ

После перезагрузки пришлите нам файл из карантина AVZ, как написано в правилах и повторите 2 последних лога из правил для проверки.

Файл сохранён как 061106_064438_virus_454f20265d9b4.zip
Размер файла 25696
MD5 8b05532418e5c41bdeee0d58e24eaddb



Спасибо большое!!!! iexplore пропал из процессов... но я пока подожду результаты анализа, чтоб можно было с чистой совестью разблокировать ie....

В Hijack [url=http://virusinfo.info/showthread.php?t=4491]пофиксите[/url] строку -
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\

А так всё чисто, присланные вами файлы посмотрят эксперты.