explorer.exe вирус

Printable View

08.04.2010, 07:25
Dmitrij008

explorer.exe вирус

Здравствуйте.
На флэшке появляется скрытая папка driver и файл explorer.exe (driver - info - explorer.exe) + autorun.inf, который не дает открыть флэшку.
В системе этот файл копируется в C:\Documents and Settings\Admin\Local Settings\Temp. KIS 2010 (обновлен) и Cureit не видят. Отправил файл на анализ - ответа нет почти неделю. уже все компы в локальной сети заражены. Файл explorer.exe из Temp не удаляется (даже через unklocker и через KAV (добавил в карантин - "не удалось удалить исходный файл"))
08.04.2010, 09:20
polword

[URL="http://virusinfo.info/pravila_old.html"][COLOR="blue"]Внимательно прочитайте и точно выполните[/COLOR][/URL]
09.04.2010, 14:23
Dmitrij008

Сделал все, как написано.
Логи прилагаю
09.04.2010, 14:52
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\explorer.exe','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\explorer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи + такой [url]http://www.gmer.net/[/url]
10.04.2010, 11:32
Dmitrij008

сделал, как написали
10.04.2010, 12:25
Шапельский Александр

Карантин надо закачивать по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
А из темы надо убрать

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer
[CODE]gmer.exe -del service uljaiy
gmer.exe -del file "C:\WINDOWS\system32\wwqko.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uljaiy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\uljaiy"
gmer.exe -reboot[/CODE]
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer

[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления [/QUOTE]
Обновите базы АВЗ! Переделайте логи
12.04.2010, 07:39
Dmitrij008

сделал
12.04.2010, 07:55
polword

- проделайте процедуру описанную в первом сообщении [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL]

Обновляйтесь
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru"]Java [/URL].
- Обновите [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader[/URL] или удалите старый.
13.04.2010, 07:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]