nissan.exe - подмена "Диспетчера задач"

9 февраля объявилась эта зараза. Свежие CureIt и AVPTools не детектят, как и штатный Nod32.
АВЗ подсказал, что это такое хотябы. На флэшку зверь кидался в скрытую папку (название периодически менялось, очень напоминало что-то на польском языке), запускаемый файл имел такие же атрибуты и вес, что и прародитель, но название также менялось (последний раз - tornado.exe).
Победить удалось выполнив самодельный (слава Олегу Зайцеву!) скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe');
QuarantineFile('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe','');
DeleteFile('c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
В прикрепленном карантине сам зверь и еще несколько файлов, найденных АВЗ.

Файл сохранён как 100216_170234_virus_4b7aa57a678ed.zip
Размер файла 312463
MD5 3b047898b0a566c1a3d258c99ca1a3c3

Посмотрите, пожалуйста, есть ли еще что-нибудь зловредное.
Заранее спасибо.
З.Ы. службу восстановления не отключал, ибо мог понадобиться откат.

службу восстановления не отключал, ибо мог понадобиться откат.
---
а если зверь выползет оттуда?

В след. раз так не делайте. В скрипте ошибки были, он мог и не помочь.

[QUOTE=PavelA;587134]службу восстановления не отключал, ибо мог понадобиться откат.
---
а если зверь выползет оттуда?

В след. раз так не делайте. В скрипте ошибки были, он мог и не помочь.[/QUOTE]

Скрипт составил в конструкторе, что в файле отчета был. После выполнения удалился файл и процесс больше не появлялся и на флэшки ничего не кидалось. По крайней мере АВЗ больше ничего не находил. Завтра соберу инфу по правилам.

сделал логи по правилам. службу восстановления отключил. пока все работает хорошо, но АВЗ нашел перехваченные процессы.
вот.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

выполнил.

скачайте и пролечитесь вот [URL="http://support.kaspersky.com/downloads/utils/kk.zip"]этим[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

после лечения сделайте повторный лог virusinfo_syscheck.zip;

скачал. проверил. ничего не нашел.
сейчас сделаю проверку.

вот с этим
[QUOTE] Windows XP SP2
Internet Explorer v6.00 SP2[/QUOTE] Вы можете стать постоянным гостем этого проекта
- надо срочно обновлять!!!

Необходимо поставить:
- SP2 обновить до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
- все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

- Установить [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)

все обновил. ИЕ поставил. сделал лог.

в логе чисто.

спасибо. тему можно закрывать.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-6930907322-0670482358-619543206-0062\nissan.exe - [B]P2P-Worm.Win32.Palevo.ruy[/B] ( DrWEB: Trojan.Packed.19702 )[/LIST][/LIST]