Неубиваемый iexplore.exe

Уважаемые эксперты,

Помогите, пожалуйста. В диспетчере программ постоянно зависает iexplore.exe, вне зависимости открыт ли интернет-эксплорер, подключен ли к нету комп. При попытке выключить, собака, перезагружается. При подключении к нету явно что-то дополнительно качает.

Комп был также заражен spool.exe, ctfmon.exe (который в драйверах тусовался), а также lanes.exe (в систем32), но я их вчера ручками вычистила из реестра и из папок. Правда, из трусости не стала удалять ddlklmwm из реестра, но вроде после проверки AVZ она из реестра тоже убралась. Что еще можно сделать?

Заранее большое спасибо.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinData.cab','');
QuarantineFile('c:\windows\temp\1.tmp','');
DeleteService('Winpw06');
DeleteService('Winxf17');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxf17.sys','');
DeleteService('tcpsr');
DeleteService('Agm07');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('c:\documents and settings\boris\application data\microsoft\windows\lsass.exe','');
BC_DeleteSvc('c:\documents and settings\boris\application data\microsoft\windows\lsass.exe');
BC_DeleteSvc('C:\WINDOWS\system32\svshost.dll');
BC_DeleteSvc('C:\WINDOWS\System32\Drivers\Agm07.sys');
BC_DeleteSvc('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteSvc('C:\WINDOWS\System32\drivers\Winxf17.sys');
BC_DeleteSvc('C:\WINDOWS\System32\Drivers\Winpw06.sys');
BC_DeleteSvc('C:\Documents and Settings\Boris\Local Settings\Application Data\spool.exe');
BC_DeleteSvc('C:\WINDOWS\system32\drivers\ctfmon.exe');
BC_DeleteSvc('c:\windows\temp\1.tmp');
BC_DeleteSvc('C:\WINDOWS\system32\WinData.cab');
BC_DeleteSvc('C:\WINDOWS\system32\WlCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

PS Пора уже [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] на Windows устанавливать (может потребоваться активация).

Спасибо Вам огромное. Поясните, пожалуйста, что есть новый лог из п. 2 диагностики. Что это syscure, syscheck или hijackthis? Просто у меня в правилах п. 2 - это CureIt.

И простите меня за тугодумие)))

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Файлы из карантина выслала. Если что, пишите.

[QUOTE=Анастасия Сергиенко;313159]Просто у меня в правилах п. 2 - это CureIt.[/QUOTE]
Имеется в виду лог CureIt. Пуск - Выполнить - %USERPROFILE%\DoctorWeb\CureIt.log

Упс. А вот это что-то не получается. Пытаюсь приложить, а файл не загружается. Конечно, может это и наша связь сбоит (немудрено, в такое время). А может... Уходит на невозможно отобразить страницу.

Может текст лога выложить в теле сообщения? Или может ну его до утра?

Кажется, зазипованный он прошел. Если он, конечно, в нормальном виде.

Сделайте новые логи (только п.2 и 3 раздела Диагностика).

К сожалению, только что включили свет. Сразу же поставила на проверку CureItом, для получения лога из п. 2.

Тут Александр подсказал сделать лог из п. 3 раздела Диагностики. Подскажите, пожалуйста, это что, так как у меня в правилах третьим пунктом стоит скачать AVZ. Ох, у меня от этого вируса уже глаз дергается. Пишу пока с другого компа (заразный в безопасном режиме проверяется).

Нужно сделать 2 стандартный скрипт и лог HJT...

Первый пошел - HJT

Да что же это такое. Никак кьюрит не пропускается. Может что-нибудь из лога скопировать?

Он большой, заархивируйте в Zip.
Ещё: Мой кабинет - Управление вложениями - посмотрите, сколько там у вас вложено. Если под завязку, то старые удалите (старый логCureIt, например, он здоровый даже в архиве).

log CureIt

[ATTACH]93351[/ATTACH]

[ATTACH]93352[/ATTACH]

[ATTACH]93353[/ATTACH]

[ATTACH]93354[/ATTACH]

[ATTACH]93355[/ATTACH]

Ну наконец то. Пришлось чесать правой ногой левое ухо: переслала мужу, а он уже смог загрузить в виде многотомного архива. Если такое подойдет, дайте, пожалуйста, знать.

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 57 минут[/I][/B][/color][/size]

Здравствуйте еще раз. Не подскажите, можно пересылать CureIt в виде многотомного архива, или лучше найти другие способы. Может, текстовый файл лога разделить на две части. Дело в том, что я его пыталась сжимать и в раре, и в зипе, а он все равно оказался чуть-чуть больше, чем разрешено загружать.

Залейте лог на файлообменник и дайте нам ссылку :)

Положено целиком в zip на файлообменник:
[url]http://ifile.it/0ncpadw[/url]
Там надо давить Request Ticket, чтобы сгенерировать ссылку, потом Download. Иногда немного подождать нужно или ещё чего-то.. в общем все жти защиты и коммерция... но должно загрузиться

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 41 минуту[/I][/B][/color][/size]

Такой файлообменник подходит, или может надо найти что-либо другое?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 44 минуты[/I][/B][/color][/size]

Извините, пожалуйста. Просмотрела компьютер. Подскажите еще, что можно сделать. В реестре вроде бы уже ничего нет, но этот хам iexplore.exe все еще висит в процессах. Я чувствую, что это будет последний шаг (хоть он и трудный самый).

Уважаемые господа.

Снова приходится к вам обращаться. После выполнения скрипта, проверки Кьюритом и т.д. никак не хотят удаляться tcpsr.sys, winpw06.sys, winxf17.sys, а также 1.tmp. CureIt находит в windows/temp вирус причем каждый раз в разных файлах, а AVZ всегда подозревает один и тот же 1.tmp. Однако вручную один файл из временных файлов не удаляется, программами тоже. При этом процесс iexplore.exe все еще висит в процессах даже при закрытом эксплорере.

Подскажите, пжлста, что делать. Может это просто глюк какой-то, а вовсе не вирус. Впрочем логи в приложении. Кьюритом сделал неполную проверку, но по ней также видно, что у него никак не удалится файл.

Может попробовать удалить подозрительные драйвера и файлы и temp, перед этим iexplore.exe с диска?

И HJT.

Не ну ей Богу, может я зря парюсь и фиг с ним - этим неправильным iexplore.exe. Однако боязно - мне надо кое-что перенести с заразного компа на комп без антивируса (вот именно антивирус и перенести).

Кстати, Виндос вышеупомянутых драйверов не видит.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DelCLSID('5E2121EE-0300-11D4-8D3B-444553540000');
DeleteService('Agm07');
DeleteService('Winpw06');
DeleteService('Winxf17');
DeleteService('tcpsr');
BC_DeleteSvc('Agm07');
BC_DeleteSvc('Winpw06');
BC_DeleteSvc('Winxf17');
BC_DeleteSvc('tcpsr');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winxf17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Agm07.sys');
DeleteFile('c:\windows\temp\1.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.