uzcx.exe, dsufp.exe и другие

Проблема такая. Зашла тут на один нехороший сайт, и пока там была, заметила, как запустилась парочка досовских программ. При этом дизэйблился монитор McAfee, и нажатие "enable on-access scan" его не запускало.

Проверила файлы Windows по дате последних изменений и нашла следующее:

windows\winraser.exe, winwr.exe, winxb.exe
windows\system32\helper.xml, torm.dll
windows\system32\drivers\uzcx.exe

Все изменены 08.05. Я, естественно, в этот момент ничего не устанавливала.

uzcx прописался в автозагрузке и висел в процессах. Кроме того, заметила, что консоль McAfee довольно долго болталась в процессах уже после того, как я из нее вышла.

Я остановила uzcx и убрала его из автозагрузки. После перезагрузки монитор McAfee, вроде бы, активизировался, но теперь у него, наоборот, не работает "[I]disable[/I] on-access scan".

Проверила McAfee подозрительные файлы, он распознал только torm.dll (Trojan PWS-Banker.gen.bt).

Когда запустила McAfee на полную проверку, он через какое-то время вылетел с сообщением об ошибке.

CureIt нашел еще windows\system32\dsufp.exe (подозрение на DLOADER.Trojan), еще кое-что в windows\temp, temporary internet files и в restore и указал на uzcx как на DLOADER.Trojan.

На winraser.exe, winwr.exe, winxb.exe и helper.xml ни один антивирус вообще не отреагировал...


Я всё это переместила/удалила. Но McAfee до сих пор вылетает при попытке осуществить полную проверку системы, а его монитор так и не дизэйблится. То ли это просто McAfee так заглючило после тех вирусов, то ли еще что-то осталось в системе... Посмотрите, пожалуйста.

(Только AVZ у меня почему-то всё время определяет vse800.msi как mailbomb. А это не "бомба", а как раз дистрибутив McAfee...)

Может, какие-нибудь файлики прислать?

[QUOTE=Tais;108608]
Только AVZ у меня почему-то всё время определяет vse800.msi как mailbomb. А это не "бомба", а как раз дистрибутив McAfee...
[/QUOTE]
то, что разные защитные программы друг друга, как зловреда опредвляют-зто нормально.
Пофиксите
[QUOTE]O2 - BHO: Helper Class - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - C:\WINDOWS\system32\torm.dll (file missing)
O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsufp.exe (file missing)[/QUOTE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\dsufp.exe','');
QuarantineFile('\??\torm.dll','');
RebootWindows(true);
end.[/CODE]
ПК перезагрузится.
После этого закачайте карантин только в случае, если в него чего-нибудь попадёт.
Если карантин пуст - сделайте и закачайте новые логи.

Спасибо! Всё сделала, в карантине ничего не оказалось.

Правда, пока выполнялся скрипт, в поле протокола появлялось какое-то сообщение об ошибке (красненькое) - что-то о карантине. Я не успела рассмотреть, очень уж быстро всё промелькнуло. Но это, наверное, просто потому, что AVZ не нашел тех файлов?

Попробуйте такой скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('dsufp.exe','');
QuarantineFile('torm.dll','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если что-нибудь попадет в карантин, пришлите файлы карантина по правилам раздела "Помогите". Прикрепите к своему следующему сообщению файл boot_clr.log из папки AVZ.

Спасибо! Этот скрипт тоже запустила. В карантине - только инишники, а лог прикрепляю.

Попробуйте поискать файл dsufp.exe и torm.dll как написано в правилах. Если найдете - пришлите по тем же правилам ;)

@MaXim
[QUOTE]Попробуйте поискать файл dsufp.exe и torm.dll как написано в правилах. Если найдете - пришлите по тем же правилам ;)[/QUOTE]
[HIDE]Скорее всего - нет их более ;) [quote]O2 - BHO: Helper Class - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - C:\WINDOWS\system32\torm.dll [COLOR="Red"](file missing)[/COLOR]
O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsufp.exe [COLOR="Red"](file missing)[/COLOR]
[/quote]
Не факт, Хайджек довольно часто так говорит..
Просто могло незакарантиниться "Нет смысла выполнять BC_ImportQuarantineList; когда не указаны полные пути к файлам. Бут драйвер не знает стандартных путей и ничего не найдёт. В таком случае есть смысл прописать несколько предпологаемых полных путей." -http://virusinfo.info/showthread.php?p=108656#post108656 (Alex_Goodwin)[/HIDE]
:)

Нет, похоже, всё-таки они в виндовских папках не "респаунятся" - ни в явном виде, ни в скрытом. AVZ, правда, опять пишет об ошибке: "Ошибка карантина файла ... , попытка прямого чтения. Карантин с использованием прямого чтения - ошибка". Но я посмотрела из другой системы, оттуда этих файлов тоже не было видно. По идее, если даже здесь они замаскированы, из другой-то системы их всё равно должно быть видно, ведь так?

Они у меня тут вообще-то хранились переименованные в отдельной папочке, но я их случайно убила :'-( . Поставила триальный NOD32 вместо McAfee, и сунулась туда, забыв отключить удаление без запроса. NOD их опознал, и файлики тю-тю. Даже попробовала систему откатить на момент до установки NOD-а - без толку. Зверюги не восстановились...

P.S. Прошу прощения, наконец-то дочитала правила до конца - lol. Да, всё-таки были там dsufp и torm в карантине - но с нулевым размером. На всякий случай закачиваю.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]