Постоянно появляющиеся вирусы в папке Temp

Здравствуйте.
Проблема у меня такая: С некоторого времени в папке [B][COLOR=Black]C:\Documents and Settings\M@X\Local Settings\Temp [/COLOR][/B][COLOR=Black]начали появляться подозрительные файлы, которые пытались запуститься, но не могли, ругаясь на отсутствие [B]msvcp71.dll [/B]Однако я .net framework 3 поставил и эти dll'ки появились. После этого подозрительные приложения (xxx.exe) запускались и висели в памяти загружая систему на 100% (если снять эти процессы, то загрузка системы сразу падала до 2%). Время от времени Dr. Web(ознакомительная версия) обнаруживал в них вирусы, но не всегда! После очистки папки temp, они опять появлялись и запускались через некоторое время (не дожидаясь перезагрузки компьютера) Сначала появлялся файл xxx.exe где xxx произвольный набор букв и цифр. Если Dr. Web его сразу не убивал, то затем появлялся файл yyy.conf, внутри которого была только путь к xxx.exe. Также в папке temp появляется пустая папка WPDNSE. Со временем эти икзишки запускаются. Для мониторинга процессов я пользуюсь [B]Iarsn TaskInfo. [/B]Он сказал, что эти процессы подключаются к сайту [B][URL]http://t.zablen.com/zg.php?jejj-1_4788_1984[/URL] [/B] или [B][url]http://news.medbod.com[/url][/B] и идёт какой-то трафик (могу дать отчёт, логи). Также эта программа показывает, что через некоторое время после запуска эти процессов, запускается IEXPLORE.EXE в скрытом режиме и тоже что-то нехорошее делает.
Dr. Web иногда выдаёт такие сообщения

C:\DOCUME~1\M@X\LOCALS~1\Temp\70exssd32a.b.exe - инфицирован Trojan.DownLoader.21795
C:\DOCUME~1\M@X\LOCALS~1\Temp\5exhdda.9.exe - инфицирован Win32.HLLW.Medbod
C:\Documents and Settings\All Users\Документы\setup.exe - инфицирован Trojan.DownLoader.21578
C:\DOCUME~1\M@X\LOCALS~1\Temp\13exinjs.a9.exe - инфицирован Trojan.Proxy.1398
C:\DOCUME~1\M@X\LOCALS~1\Temp\setup.exe - инфицирован Trojan.DownLoader.21883

А в последнее время [B]Spybot-S&&D [/B]говорит, что я типа хочу закачать "Avenue A, Inc.", которая известна, как опастная. И предлагает её блокировать. Я соглашаюсь. Но всё снова идёт по кругу
(temp-процесс-вирус-загрузка 100%-Avenue A)

Где этот вирус прописался, что постоянно закачивается? Уже так он мне надоел >:(. Помогите Plz.

P.S. при сканировании AVZ я не отключал восстановление сис-мы, потому как не хочу потерять точки восстановления. И ещё: при сканировании процессы вирусов не были запущены.
P.P.S. Аналогичную проблему я нашёл на [url]http://forum.drweb.com/viewtopic.php?t=4961[/url] Но как её решить?
[/COLOR]

Если не отключать восстановление, лечится будем мучительно долго.

А так
1. Отключиться от сети
2. Отключить восстановление
3. Отключить антивирус
4. В AVZ выполнить скрипт:

[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system\smss.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать карантин через ссылку вверху темы.
В тему приложить boot_clr.log из директории AVZ.

в дополнение , удалить папку C:\Program Files\VVSN и все файлы в папке Temp .

После перезагрузки система долго грузилась и в конце концов говорит "Система восстановленна после серьёзной ошибки"
Карантин прислал, C:\Program Files\VVSN и все файлы в папке Temp удалил. А вот и лог

@4epenOK
C:\WINDOWS\system\smss.exe по НОД32 Win32/Medbot.IE
Будем удалять.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system\smss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки прикрепите файл boot_clr.log из папки AVZ к своему следующему сообщению.
[QUOTE=PavelA;107539]Если не отключать восстановление, лечится будем мучительно долго.[/QUOTE]
[QUOTE=drongo;107543]в дополнение , удалить ... все файлы в папке Temp .[/QUOTE]
А ещё, по-секрету скажу, есть в Винде замечательная рутина, которое и то и другое одним махом делает: [B]cleanmgr[/B]. Вызывается она просто: Старт/Выполнить..., напечатать команду [B]cleanmgr[/B] и надавить Ввод ;) . Перед этим рекомендуется проделать небольшую операцию в реестре, как [URL="http://support.microsoft.com/?scid=kb%3Bru%3B812248&x=15&y=14"]здесь[/URL] написано.
Ну и напоследок: по желанию удаляются [B]все пункты восстановления, кроме последнего.[/B]

Посмотрел-действительно, оригинальный smss.exe находится в system32. Скрипт выполнил. Перед перезагрузкой Dr. Web успел развернуть окошко о том, что найден вирус, но я прочитать не успел, так как компьютер начал перезагружаться. Однако всё поисчезало (осталось только картинка рабочего стола), горячие клавиши не реагировали, но мышка двигается, хотя и не работает правый клик. В таком состоянии компьютер провисел некоторое время, после чего я не выдержал и вырубил его вручную. После перезагрузки я посмотрел, файл smss.exe был удалён. Хотя в логе почему-то указано обратное

(0xC0000034)- значит он уже был удалён до AVZ , поэтому нечего было авз удалять , вот и написал что не вышло :)

[QUOTE=4epenOK;107553]После перезагрузки я посмотрел, файл smss.exe был удалён. Хотя в логе почему-то указано обратное[/QUOTE]
Надеюсь, что Вы вылечены. А несоответствие лога и факта могу объяснить только тем , что лог был создан до отключения системы, а файл удалён при её новой загрузке. Если я не прав, прошу скорригировать.
На всякий случай повторите логи, как в Вашем первом сообщении.

Провёл повторное сканирование. Вроде всё чисто. Правда я забыл убить процесс отвечающий, за обновление антивирусных баз (в первом логе), но думаю, что это не страшно. Если за завтрашний день не появится ничего страшного, значит я здоров :)

Спасибо всем, кто мне помогал, за оперативную работу. :good:

Чисто :)
Вы можете помочь и нам и себе на будущее ;)
[url]http://virusinfo.info/showthread.php?t=3519[/url]

[QUOTE]А несоответствие лога и факта могу объяснить только тем , что лог был создан до отключения системы, а файл удалён при её новой загрузке. Если я не прав, прошу скорригировать. [/QUOTE]
Файл был удален командой DeleteFile.
А лог написан Boot Cleaner'ом, которому уже делать было нечего.

Для памятки , зверя будут звать Trojan-Proxy.Win32.Horst.yc
[code]
Hello,

smss.exe_ - Trojan-Proxy.Win32.Horst.yc

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.
e-mail: [email protected]
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.



> Attachment: 070503_201927_virus_463a0b8f34136.zip

> VirusInfo Из темы http://virusinfo.info/showthread.php?t=9457 070503_201927_virus_463a0b8f34136.zip
>
[/code]

Значит этот вирь был новичок :)
Прошу прощения, что несколько не по теме: Можно ли без последствий удалить sptd.sys? Daemon Tools и alcohol были удалены уже давно. Сейчас использую Power ISO. Просто мне не понравились строчки AVZ на счёт перехвата чего-то там.

[QUOTE]Можно ли без последствий удалить sptd.sys?[/QUOTE]Конечно можно.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\sptd.sys');
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]
После перезагрузки посмотрите удалился он или нет.

Файл был удалён. Но как быть с ключами реестра. Всё что было связано с sptd.sys я удалил, однако некоторые ключи заблокированы от изменений. К тому же в системном журнале появилась запись Тип события: Ошибка Источник события: Service Control Manager Код события: 7026 Описание: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: sptd Что делать?

Файл удалился, а "прописка" драйвера в реестре осталась.
Выполните скрипт:
[code]begin
BC_DeleteSvc('sptd');
BC_Activate;
RebotWindows(true);
end.[/code]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system\\smss.exe - [B]Trojan-Proxy.Win32.Horst.afu[/B] (DrWEB: Trojan.DownLoader.21870)[/LIST][/LIST]