Неубиваемый iexplore.exe

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
QuarantineFile('C:\WINDOWS\Temp\2.tmp','');
QuarantineFile('C:\WINDOWS\Temp\4.tmp','');
QuarantineFile('C:\WINDOWS\system32\kouuupcw.dll','');
QuarantineFile('C:\WINDOWS\system32\kokgflle.dll','');
QuarantineFile('C:\WINDOWS\system32\knhfnrou.dll','');
QuarantineFile('C:\WINDOWS\system32\kkfjawsv.dll','');
QuarantineFile('C:\WINDOWS\system32\iqirxckr.dll','');
QuarantineFile('C:\WINDOWS\system32\hjpovovt.dll','');
QuarantineFile('C:\WINDOWS\system32\hbbjvgto.dll','');
QuarantineFile('C:\WINDOWS\system32\fuybovci.dll','');
QuarantineFile('C:\WINDOWS\system32\ftvauopx.dll','');
QuarantineFile('C:\WINDOWS\system32\flfhpkhl.dll','');
QuarantineFile('C:\WINDOWS\system32\fcgydsqe.dll','');
QuarantineFile('C:\WINDOWS\system32\etexfdqs.dll','');
QuarantineFile('C:\WINDOWS\system32\eljndsmd.dll','');
QuarantineFile('C:\WINDOWS\system32\crlauaqv.dll','');
QuarantineFile('C:\WINDOWS\system32\ccjeartw.dll','');
QuarantineFile('C:\WINDOWS\system32\bjdpuhtg.dll','');
QuarantineFile('C:\WINDOWS\system32\aehurngl.dll','');
QuarantineFile('C:\WINDOWS\system32\bvkiqbnn.dll','');
end.
[/code]
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.

Спасибо, большое. Лог прикладываю, iexplore.exe еще висит.

Андрей, все отослала, как просили. Кстати, у меня чой-то Ворд перестал загружаться. Только в безопасном режиме и ничего не показывает, но это к сведению, это не проблема, я его переустановить смогу, если что.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 1 минуту[/I][/B][/color][/size]

Андрей, у меня к вам еще пара вопросов. Не знаю, загрузилось ли то сообщение, где был лог НОД. Если надо, то могу снова переслать. У меня еще несколько вопросов:

1. Могу ли я в таком положении переустановить Ворд? (то есть вирус еще в системе, я его носом чую)
2. Могу ли я закачать сервис пак 3?
3. Может стоит удалить iexplore.exe, что заставит этот вирус вылезти? А потом переписать с другого компа. Благо есть откуда.

[quote=Анастасия Сергиенко]Андрей, все отослала, как просили.[/quote]
Вы прислали карантин утилиты CureIt, а я просил карантин AVZ.
[quote=Анастасия Сергиенко]Не знаю, загрузилось ли то сообщение, где был лог НОД. Если надо, то могу снова переслать.[/quote]Не надо.
[quote=Анастасия Сергиенко]У меня еще несколько вопросов[/quote]
1. Переустановить можете, но поможет ли это не могу сказать, так как причина его не работоспособности не понятна.
2. Можете. Я бы даже сказал должны. Так как троян восстонавливается загадочным образом и скорее всего используя одну из многочисленных уязвимостей Windows XP SP2.
3. Вылезти не заставит. Может только затруднить работу трояна.

У вас установлен антивирус Norton AntiVirus кроме NOD32. Он в нерабочем состоянии? Советую его деинсталировать.

Андрей, спасибо большое, что ответили. НОД его опознает, как Rootkit и Adware.Virtumonde. Сейчас пока не могу его переустановить, он требует для деинсталляции программу-деинсталлятор. Прощу всего было бы снести системник, а потом все установить, но на руках лишь пара драйверов и офис.

Сейчас перешлю вам карантин AVZ, но есть опасения, что товарищ НОД его почистил. Сразу же после этого переустановлю на диск Сервиспак.

Кстати, посмотрела, в реестре все пути, где может скрываться этот Руткит, вроде бы все чисто.

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

Вроде бы закачала. Посмотрите, прошло ли. А за Кьюрит извиняюсь. Кстати, у меня с флешки все стерлось. Я думаю, что просто неправильно ее вытащила.))))

[quote=Анастасия Сергиенко]требует для деинсталляции программу-деинсталлятор. [/quote]Скачайте тут:
[url]http://solutions.symantec.com/sdccommon/asp/symcu_defcontent_view.asp?ssfromlink=true&sprt_cid=6963b863-9269-4ec4-8a44-4e8803bcb0dc&docid=20070816103157EN[/url]

Вроде бы закачала. Посмотрите, прошло ли. А за Кьюрит извиняюсь. Кстати, у меня с флешки все стерлось. Я думаю, что просто неправильно ее вытащила.))))

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Опа, никогда бы не подумала, что сервиспак так весит. Блин, не могу его скачать. У меня Билайновский модем, это повеситься можно, сколько он его качать будет.

Карантин не дошел.

Ох, час от часу не легче. Не запускается Нортон))) Это в зачет вирусу.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]

Спасибо Вам огромное!!!! Удалила Нортон на. Кстати, отправила еще раз карантин, вроде бы прошел. Еще может проверить комп какой-нить программой для поиска руткитов и потом переслать сюда лог?

Карантин пришел.
В нем NOD32 детектирует [B]a variant of Win32/Adware.Virtumonde.NCU[/B]. Похоже у вашего антивируса базы не обновлены :(
Проверять смысла не вижу, надо Windows обновлять.

Понятно. Мда, у меня тут NOD говорит, что я обладаю самой новейшей базой)))))))) Он и Virtumonde.NCU, и Rootkit определяет и в карантине, и в system32, и в temp, но похоже ничего не удаляет. Впрочем сейчас уверена, что найду, где взять SP3. Надеюсь, этот руткит ничего не натворит за 3-4 дня.

Ладно, спасибо Вам большое. Думаю, буду возобновлять тему уже после установки сервиспака. Нет, смысла пока искать. Ладно, спасибо Вам большое. А программы по битью руткитов не имеет смысла заполучить?

[quote]А программы по битью руткитов не имеет смысла заполучить? [/quote]
Хммм... А AVZ и CureIt тогда, что такое по вашему?

Эх, пока они бессильны против этой заразы))))))))

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz00002.dta - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\a0046845.exe - [B]Trojan-Downloader.Win32.Agent.aprg[/B] (DrWEB: BackDoor.Dld.1184)[*] c:\\documents and settings\\boris\\application data\\microsoft\\windows\\lsass.exe - [B]Trojan.Win32.Buzus.adeq[/B] (DrWEB: Trojan.DownLoad.4693)[*] \\c.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\windows\\system32\\ccjeartw.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\crlauaqv.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\etexfdqs.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\fcgydsqe.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\flfhpkhl.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\ftvauopx.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\fuybovci.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\hbbjvgto.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\hjpovovt.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\knhfnrou.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\kokgflle.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\kouuupcw.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\svshost.dll - [B]Backdoor.Win32.Small.grw[/B] (DrWEB: BackDoor.Dld.1184)[*] c:\\windows\\system32\\windata.cab - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.DownLoader.59496)[*] c:\\windows\\temp\\1.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\e.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\1.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\10.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\5.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\9.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\9______0.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[/LIST][/LIST]