Winexp.exe

Printable View

30.05.2010, 15:24
Yarrr

Winexp.exe

Здравствуйте! Прошу мне помочь.
По глупости, зашел осознанно на сомнительный сайт, и скачал от туда файл. Решил проверить свой антивирус. Перед запуском проверил скачанный файл, антивирус ничего не нашел, и запустил его.
После запуска появился процесс ( а иногда 2 и более) winexp.exe, который не возможно удалить, этот процесс запускает приложение ( в диспетчере устройств называется как "form1"). Это приложение начинает что-то скачивать и отправлять( это было видно в списке сетевых подключение в firewall`е). Что не обычно, появились своеобразные щелчки, как-буд то браузер переходит со страницы на страницу.
Заранее благодарен.
Ярослав.
30.05.2010, 15:49
polar_owl

Закройте все программы, выгрузите антивирус, фаерволл
[CODE]
O15 - Trusted Zone: http://*.croc
[/CODE]
Вы добавляли это в Надежные узлы в IE? Если нет -- пофиксите.

Выполните в AVZ скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\winlogin.exe');
TerminateProcessByName('c:\windows\winexp.exe');
TerminateProcessByName('c:\users\yar\appdata\local\apps\2.0\9k6q9bkt.0vz\6wxhv4ye.bd8\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\curseclient.exe');
QuarantineFile('C:\Windows\taskmsgr.exe','');
QuarantineFile('c:\windows\winlogin.exe','');
QuarantineFile('c:\windows\winexp.exe','');
QuarantineFile('c:\users\yar\appdata\local\apps\2.0\9k6q9bkt.0vz\6wxhv4ye.bd8\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\curseclient.exe','');
DeleteFile('c:\windows\winlogin.exe');
DeleteFile('c:\windows\winexp.exe');
DeleteFile('C:\Windows\taskmsgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]

В папке c АВЗ сохранится [B]virus.zip[/B].
Пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы.
Повторите логи.
30.05.2010, 16:34
Yarrr

Невозможно выполнить скрипт.
После отсановки процесса winexp.exe, АВЗ зависает.
Антивирус выключен и выгружен с фаерволом.
В чем дело?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

чаще всего идет остановка (3512)winlogin.exe и сразу программа зависает и закрывается.
30.05.2010, 16:35
polar_owl

Попробуйте его выполнить в безопасном режиме.
Да, вопрос: Вы АВЗ запускаете по правой кнопке мыши От имени администратора?
30.05.2010, 16:50
Yarrr

[QUOTE=polar_owl;646323]Попробуйте его выполнить в безопасном режиме.
Да, вопрос: Вы АВЗ запускаете по правой кнопке мыши От имени администратора?[/QUOTE]

Да, кончено. Даже включал совместимость с winxp(sp3) в свойствах.
При поптке запуска в безопасном режиме, возникает такая ошибка:
Ошибка AVZ Guard: C000035F
И програма через 3 секунды закрывается.
Операционная ситема : Windows7 Home Premium
30.05.2010, 16:55
polar_owl

Удалите из скрипта строчку:
[CODE]SetAVZGuardStatus(True);[/CODE]
30.05.2010, 17:33
Yarrr

Получилось выполнить скрипт, удалив 2 первые строки:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Процесс исчез, спасибо!!
Сейчас перезалью новые логи
30.05.2010, 19:01
Yarrr

перезалил логи:
30.05.2010, 21:09
thyrex

Кроме устаревших баз AVZ, ничего необычного
30.05.2010, 21:45
polar_owl

+ к Thyrex.
Из последнего лога:
[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
В первых логах все нормально. Как у Вас так получилось?
Желательно,конечно, увидеть логи с обновленными базами...

Установите Acrobat Reader 9.3

Также, если Вас не затруднит, выполните процедуру, описанную здесь:[url]http://virusinfo.info/showthread.php?t=3519[/url]
Предварительно очистите папку [I]Quarantine[/I]
31.05.2010, 09:23
Yarrr

Логи с новой базой:
31.05.2010, 09:40
polar_owl

Чисто.
31.05.2010, 17:03
Yarrr

[QUOTE=polar_owl;646686]Чисто.[/QUOTE]
Большое Вам спасибо!!!
01.06.2010, 17:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\taskmsgr.exe - [B]Trojan-Downloader.Win32.Delf.abvt[/B] ( AVAST4: Win32:Delf-NLD [Trj] )[*] c:\windows\winexp.exe - [B]Trojan-Clicker.Win32.Delf.dql[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\winlogin.exe - [B]Trojan-Downloader.Win32.Delf.abvu[/B] ( BitDefender: DeepScan:Generic.Malware.SFYBVg.E0838CF8, AVAST4: Win32:Lapsavok [Drp] )[/LIST][/LIST]