Редкий вирус

Здравствуйте. Недавно на своём компьютере я обнаружил странную вещь. Когда я нажимаю на exe-файл любой программы, открывается не сама программа, а прога Microsoft Excel. Похоже вирус. Но какой? Я пытался найти его Др.Вебом и Касперским – не помогло. Его не находит ни один антивирус. Помогите плиз.

Те же ошибки:
[url]http://forum.drweb.ru/index.php?showtopic=40283[/url]

[url]http://www.kaspersky.ru/forum?page=0&rord=1&theme=148167214&thread=157160165&openmsg=157200807[/url]

[url]http://forums.avalon.ru/forum/post.asp?method=Reply&TOPIC_ID=2575&FORUM_ID=3[/url]

[url]http://filext.com/info/showthread.php?t=12[/url]

Может быть это эти врусы:
[url]http://www.kaspersky.ru/find?words=w32.Jeefo&search=1[/url]

Вверху смотрите ссылку на Правила.
Внимательно прочтите, аккуратно выполните.

ЗЫ: Гадать лучше по логам. Вот их и прикрепите здесь.

Ок.

Пришлите, как написано в Приложении 2 правил, следующие файлы (что найдётся):
[code]E:\Program Files\Affiliate Beta\untitled.dll
E:\WINDOWS\System32\lafkaiwy.dll
c:\\keyboard25.exe
c:\\newname25.exe
E:\WINDOWS\svchost.exe
ydax.exe
E:\WINDOWS\System32\win32bootcfg.exe
cwz.exe
E:\WINDOWS\System32\csrss.dll
E:\WINDOWS\system32\lvjm0911e.dll
E:\WINDOWS\System32\Phapgl32.dll
E:\WINDOWS\win32host.exe
E:\WINDOWS\system32\config\SYSTEM~1\МОИДОК~1\FNTS~1\wucrtupd.exe
E:\Program Files\Common Files\F?nts\rеgedit.exe
E:\WINDOWS\DOWNLO~1\Install.dll
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\system32\aiycfilt.dll
E:\WINDOWS\system32\hatplug.dll[/code]
P.S. Непонятно, то ли на самом деле гадюшник такой, то ли реестр замусорен. Ещё следы Dr.Web видать, но самого почему-то в живых не наблюдается.

нашлось всего 3 файла

Не сюда! Ещё раз читайте Приложение 2. Авось, с помощью AVZ и больше найдёте.

[quote=pig]Пришлите, как написано в Приложении 2 правил, следующие файлы (что найдётся):
[code]E:\Program Files\Affiliate Beta\untitled.dll
E:\WINDOWS\System32\lafkaiwy.dll
c:\\keyboard25.exe
c:\\newname25.exe
E:\WINDOWS\svchost.exe
ydax.exe
E:\WINDOWS\System32\win32bootcfg.exe
cwz.exe
E:\WINDOWS\System32\csrss.dll
E:\WINDOWS\system32\lvjm0911e.dll
E:\WINDOWS\System32\Phapgl32.dll
E:\WINDOWS\win32host.exe
E:\WINDOWS\system32\config\SYSTEM~1\МОИДОК~1\FNTS~1\wucrtupd.exe
E:\Program Files\Common Files\F?nts\rеgedit.exe
E:\WINDOWS\DOWNLO~1\Install.dll
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\system32\aiycfilt.dll
E:\WINDOWS\system32\hatplug.dll[/code][/quote]
-стянутый с hттp://freepcscan.com/spyware/Install.cab E:\WINDOWS\DOWNLO~1\Install.dll тоже особого доверия не вызывает, тем более, что Dr.Web ругается: Install.cab\Install.dll является рекламной программой [B]Adware.SpywareStorm[/B]
...кроме того и E:\WINDOWS\Downloaded Program Files\Rovion.dll от hттp://www.rovion.com/Controls/Rovion.cab не совсем чисто прошёл проверку на VirusTotal


[quote=pig]P.S. Непонятно, то ли на самом деле гадюшник такой, то ли реестр замусорен. Ещё следы Dr.Web видать, но самого почему-то в живых не наблюдается.[/quote] -ну, если там Windows XP SP1 без заплаток, то вполне может быть что "на самом деле гадюшник";)

Закачал как надо. Только больше 3ёх файлов не нашёл все равно.. (

[quote=KlaMir]Когда я нажимаю на exe-файл любой программы, открывается не сама программа, а прога Microsoft Excel.[/quote]
В AVZ меню файл Восстановление системы - в первой строчке поставьте галочку. Нажмите кнопку Выполнить ... Перезагрузите компьютер. Теперь запускаются?

Насколько я понимаю, аналогичный по эффекту совет с REG-файлом, данный на форуме drweb.ru, не прошёл.

[quote=KlaMir]Закачал как надо. Только больше 3ёх файлов не нашёл все равно.. ([/quote]
Да не те файлы вы закачиваете!
Вам указали файлы с конкретными путями, а вы вместо E:\WINDOWS\svchost.exe прислали E:\WINDOWS\system32\svchost.exe.

Искать файлы нужно из AVZ. найденный файлы добавлять в карантин. Весь карантин прислать по правилам форума.

Программой HijackThis [url=http://virusinfo.info/showthread.php?t=4491]пофиксите[/url] строки
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://www.searchfeed.com/rd/404/404.jsp?p=53720&trackID=O2305127731[/url]
R3 - URLSearchHook: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O2 - BHO: (no name) - {5221074C-E486-C028-A561-EC1CF6ECE2C6} - E:\WINDOWS\System32\lafkaiwy.dll (file missing)
O3 - Toolbar: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O4 - HKLM\..\Run: [keyboard] c:\\keyboard25.exe
O4 - HKLM\..\Run: [newname] c:\\newname25.exe
O4 - HKLM\..\Run: [InternetServ] E:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Windows ASN4 Services] ydax.exe
O4 - HKLM\..\Run: [Windows Core Kernel Update] E:\WINDOWS\System32\win32bootcfg.exe
O4 - HKLM\..\RunServices: [Windows ASN Services] cwz.exe
O4 - HKLM\..\RunServices: [Windows ASN4 Services] ydax.exe
O9 - Extra button: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O9 - Extra 'Tools' menuitem: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} (CInstall Class) - [url]http://freepcscan.com/spyware/Install.cab[/url]
O16 - DPF: {24D1BDCE-D835-11D6-BF84-0050047EA0E7} (BlueStream_Flash Class) - [url]http://www.rovion.com/Controls/Rovion.cab[/url]
O16 - DPF: {64311111-1111-1121-1111-111191113457} -
O20 - AppInit_DLLs: E:\WINDOWS\System32\csrss.dll
O20 - Winlogon Notify: Nls - E:\WINDOWS\system32\lvjm0911e.dll (file missing)
O21 - SSODL: IEBJA0BF - {1D343134-6255-2C3E-0891-0FA207C21318} - (no file)
O21 - SSODL: mtklefa - {6FD328B9-586D-4F98-9C9A-366CEDD8B427} - (no file)
O21 - SSODL: Web Event Logger - {79FB9088-19CE-715D-D85A-216290C5B738} - E:\WINDOWS\System32\Phapgl32.dll (file missing)
O23 - Service: Network Monitor - Unknown owner - E:\Program Files\Network Monitor\netmon.exe (file missing)

после чего перезагрузитесь и сделайте новый лог HijackThis. Приложите его к этой теме и сразу будет понятно - реестр замусорен, или действительно полно заразы.

И еще - пришлите файлы:
E:\WINDOWS\System32\stlshell.dll
E:\System Volume Information\_restore{5D818203-277E-4890-90AC-003E003A1B8B}\RP38\A0003643.dll
E:\WINDOWS\DOWNLO~1\Install.dll
(он же E:\WINDOWS\Downloaded Program Files\Install.dll )

Я файлы искал с помощью AVZ но нашлось только три… я вам уже говорил. Если заархивировать карантин, то там только один файл (я его прикрепил). + профиксеный лог - снизу.

Восстановление системы в AVZ делали? Помогло?

Делал. Не помогло. Я бы так нарисал..

[QUOTE=KlaMir]Я файлы искал с помощью AVZ но нашлось только три… я вам уже говорил. Если заархивировать карантин, то там только один файл (я его прикрепил). + профиксеный лог - снизу.[/QUOTE]
1. профиксенный лог совершенно "левый" - я не поверю, что у вас куда-то делись все программы, загружаемые через Run в реестре
2. никакого прикрепленного файла я не вижу.
3. в присланном архиве
%F4%E0%E9%EB%FB_44e40629e4abe.rar
есть скриншот карантина, с котором видны интересующие нас файлы (untitled.dll, stlshell.dll и т.п.)
значит в карантине они у вас есть.

а те файлы, которые вы присылаете, они НЕ ТЕ.

1. профиксенный лог совершенно "левый" - я не поверю, что у вас куда-то делись все программы, загружаемые через Run в реестре

Ну это уже я пасс... Я всё сделал как вы сказали..

Я послал файл virus.rar . Это нужные файлы?

[quote=KlaMir]1. профиксенный лог совершенно "левый" - я не поверю, что у вас куда-то делись все программы, загружаемые через Run в реестре

Ну это уже я пасс... Я всё сделал как вы сказали..[/quote]
Признавайтесь, вы ВСЕ строки в HijackThis пофиксили?
[quote=KlaMir]Я послал файл virus.rar . Это нужные файлы?[/quote]
Да. Пришли из тех что просили 2
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\System32\stlshell.dll
А E:\Program Files\Affiliate Beta\untitled.dll, который виден на скриншоте в карантине, не пришел.

[QUOTE=KlaMir]
Я послал файл virus.rar . Это нужные файлы?[/QUOTE]
пришел virus.zip
в нем только два файла (хотя в карантине должно быть около 27 файлов). остальные будут?

[quote=AndreyKa]Признавайтесь, вы ВСЕ строки в HijackThis пофиксили?[/quote]
Все. Причем потом повторно фиксил - не помогло.

[quote=AndreyKa]Да. Пришли из тех что просили 2
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\System32\stlshell.dll
А E:\Program Files\Affiliate Beta\untitled.dll, который виден на скриншоте в карантине, не пришел.[/quote]
Просто тот карантин я удалил.. Потом ещё раз просканировал всё AVZ а тех файлов уже нет в карантине ;( Те которые есть я сейчас ВСЕ послал…

Внизу протокол AVZ – может как-нибудь поможет разобраться

[quote=KlaMir]Все. Причем потом повторно фиксил - не помогло.
[/quote]
а кто вас просил удалять ВСЕ? были указаны конкретные строки, которые нужно было удалить.
вы или прислушиваетесь к советам, и в результате получаете положительный результат, либо занимаетесь самолечением, и с нас снимается вся ответственность за последствия

[quote=KlaMir]
Внизу протокол AVZ – может как-нибудь поможет разобраться[/quote]
у вас по прежнему на диске присутствует файл
E:\System Volume Information\_restore{5D818203-277E-4890-90AC-003E003A1B8B}\RP38\A0003643.dll
который я уже просил прислать на исследование.

и еще - сделайте новое [b]исследование[/b] системы программой AVZ и приложите к теме.