Неубиваемый iexplore.exe

Уважаемые эксперты,

Помогите, пожалуйста. В диспетчере программ постоянно зависает iexplore.exe, вне зависимости открыт ли интернет-эксплорер, подключен ли к нету комп. При попытке выключить, собака, перезагружается. При подключении к нету явно что-то дополнительно качает.

Комп был также заражен spool.exe, ctfmon.exe (который в драйверах тусовался), а также lanes.exe (в систем32), но я их вчера ручками вычистила из реестра и из папок. Правда, из трусости не стала удалять ddlklmwm из реестра, но вроде после проверки AVZ она из реестра тоже убралась. Что еще можно сделать?

Заранее большое спасибо.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinData.cab','');
QuarantineFile('c:\windows\temp\1.tmp','');
DeleteService('Winpw06');
DeleteService('Winxf17');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxf17.sys','');
DeleteService('tcpsr');
DeleteService('Agm07');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('c:\documents and settings\boris\application data\microsoft\windows\lsass.exe','');
BC_DeleteSvc('c:\documents and settings\boris\application data\microsoft\windows\lsass.exe');
BC_DeleteSvc('C:\WINDOWS\system32\svshost.dll');
BC_DeleteSvc('C:\WINDOWS\System32\Drivers\Agm07.sys');
BC_DeleteSvc('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteSvc('C:\WINDOWS\System32\drivers\Winxf17.sys');
BC_DeleteSvc('C:\WINDOWS\System32\Drivers\Winpw06.sys');
BC_DeleteSvc('C:\Documents and Settings\Boris\Local Settings\Application Data\spool.exe');
BC_DeleteSvc('C:\WINDOWS\system32\drivers\ctfmon.exe');
BC_DeleteSvc('c:\windows\temp\1.tmp');
BC_DeleteSvc('C:\WINDOWS\system32\WinData.cab');
BC_DeleteSvc('C:\WINDOWS\system32\WlCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

PS Пора уже [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] на Windows устанавливать (может потребоваться активация).

Спасибо Вам огромное. Поясните, пожалуйста, что есть новый лог из п. 2 диагностики. Что это syscure, syscheck или hijackthis? Просто у меня в правилах п. 2 - это CureIt.

И простите меня за тугодумие)))

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Файлы из карантина выслала. Если что, пишите.

[QUOTE=Анастасия Сергиенко;313159]Просто у меня в правилах п. 2 - это CureIt.[/QUOTE]
Имеется в виду лог CureIt. Пуск - Выполнить - %USERPROFILE%\DoctorWeb\CureIt.log

Упс. А вот это что-то не получается. Пытаюсь приложить, а файл не загружается. Конечно, может это и наша связь сбоит (немудрено, в такое время). А может... Уходит на невозможно отобразить страницу.

Может текст лога выложить в теле сообщения? Или может ну его до утра?

Кажется, зазипованный он прошел. Если он, конечно, в нормальном виде.

Сделайте новые логи (только п.2 и 3 раздела Диагностика).

К сожалению, только что включили свет. Сразу же поставила на проверку CureItом, для получения лога из п. 2.

Тут Александр подсказал сделать лог из п. 3 раздела Диагностики. Подскажите, пожалуйста, это что, так как у меня в правилах третьим пунктом стоит скачать AVZ. Ох, у меня от этого вируса уже глаз дергается. Пишу пока с другого компа (заразный в безопасном режиме проверяется).

Нужно сделать 2 стандартный скрипт и лог HJT...

Первый пошел - HJT

Да что же это такое. Никак кьюрит не пропускается. Может что-нибудь из лога скопировать?

Он большой, заархивируйте в Zip.
Ещё: Мой кабинет - Управление вложениями - посмотрите, сколько там у вас вложено. Если под завязку, то старые удалите (старый логCureIt, например, он здоровый даже в архиве).

log CureIt

[ATTACH]93351[/ATTACH]

[ATTACH]93352[/ATTACH]

[ATTACH]93353[/ATTACH]

[ATTACH]93354[/ATTACH]

[ATTACH]93355[/ATTACH]

Ну наконец то. Пришлось чесать правой ногой левое ухо: переслала мужу, а он уже смог загрузить в виде многотомного архива. Если такое подойдет, дайте, пожалуйста, знать.

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 57 минут[/I][/B][/color][/size]

Здравствуйте еще раз. Не подскажите, можно пересылать CureIt в виде многотомного архива, или лучше найти другие способы. Может, текстовый файл лога разделить на две части. Дело в том, что я его пыталась сжимать и в раре, и в зипе, а он все равно оказался чуть-чуть больше, чем разрешено загружать.

Залейте лог на файлообменник и дайте нам ссылку :)

Положено целиком в zip на файлообменник:
[url]http://ifile.it/0ncpadw[/url]
Там надо давить Request Ticket, чтобы сгенерировать ссылку, потом Download. Иногда немного подождать нужно или ещё чего-то.. в общем все жти защиты и коммерция... но должно загрузиться

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 41 минуту[/I][/B][/color][/size]

Такой файлообменник подходит, или может надо найти что-либо другое?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 44 минуты[/I][/B][/color][/size]

Извините, пожалуйста. Просмотрела компьютер. Подскажите еще, что можно сделать. В реестре вроде бы уже ничего нет, но этот хам iexplore.exe все еще висит в процессах. Я чувствую, что это будет последний шаг (хоть он и трудный самый).

Уважаемые господа.

Снова приходится к вам обращаться. После выполнения скрипта, проверки Кьюритом и т.д. никак не хотят удаляться tcpsr.sys, winpw06.sys, winxf17.sys, а также 1.tmp. CureIt находит в windows/temp вирус причем каждый раз в разных файлах, а AVZ всегда подозревает один и тот же 1.tmp. Однако вручную один файл из временных файлов не удаляется, программами тоже. При этом процесс iexplore.exe все еще висит в процессах даже при закрытом эксплорере.

Подскажите, пжлста, что делать. Может это просто глюк какой-то, а вовсе не вирус. Впрочем логи в приложении. Кьюритом сделал неполную проверку, но по ней также видно, что у него никак не удалится файл.

Может попробовать удалить подозрительные драйвера и файлы и temp, перед этим iexplore.exe с диска?

И HJT.

Не ну ей Богу, может я зря парюсь и фиг с ним - этим неправильным iexplore.exe. Однако боязно - мне надо кое-что перенести с заразного компа на комп без антивируса (вот именно антивирус и перенести).

Кстати, Виндос вышеупомянутых драйверов не видит.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DelCLSID('5E2121EE-0300-11D4-8D3B-444553540000');
DeleteService('Agm07');
DeleteService('Winpw06');
DeleteService('Winxf17');
DeleteService('tcpsr');
BC_DeleteSvc('Agm07');
BC_DeleteSvc('Winpw06');
BC_DeleteSvc('Winxf17');
BC_DeleteSvc('tcpsr');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winxf17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Agm07.sys');
DeleteFile('c:\windows\temp\1.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
QuarantineFile('C:\WINDOWS\Temp\2.tmp','');
QuarantineFile('C:\WINDOWS\Temp\4.tmp','');
QuarantineFile('C:\WINDOWS\system32\kouuupcw.dll','');
QuarantineFile('C:\WINDOWS\system32\kokgflle.dll','');
QuarantineFile('C:\WINDOWS\system32\knhfnrou.dll','');
QuarantineFile('C:\WINDOWS\system32\kkfjawsv.dll','');
QuarantineFile('C:\WINDOWS\system32\iqirxckr.dll','');
QuarantineFile('C:\WINDOWS\system32\hjpovovt.dll','');
QuarantineFile('C:\WINDOWS\system32\hbbjvgto.dll','');
QuarantineFile('C:\WINDOWS\system32\fuybovci.dll','');
QuarantineFile('C:\WINDOWS\system32\ftvauopx.dll','');
QuarantineFile('C:\WINDOWS\system32\flfhpkhl.dll','');
QuarantineFile('C:\WINDOWS\system32\fcgydsqe.dll','');
QuarantineFile('C:\WINDOWS\system32\etexfdqs.dll','');
QuarantineFile('C:\WINDOWS\system32\eljndsmd.dll','');
QuarantineFile('C:\WINDOWS\system32\crlauaqv.dll','');
QuarantineFile('C:\WINDOWS\system32\ccjeartw.dll','');
QuarantineFile('C:\WINDOWS\system32\bjdpuhtg.dll','');
QuarantineFile('C:\WINDOWS\system32\aehurngl.dll','');
QuarantineFile('C:\WINDOWS\system32\bvkiqbnn.dll','');
end.
[/code]
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.

Спасибо, большое. Лог прикладываю, iexplore.exe еще висит.

Андрей, все отослала, как просили. Кстати, у меня чой-то Ворд перестал загружаться. Только в безопасном режиме и ничего не показывает, но это к сведению, это не проблема, я его переустановить смогу, если что.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 1 минуту[/I][/B][/color][/size]

Андрей, у меня к вам еще пара вопросов. Не знаю, загрузилось ли то сообщение, где был лог НОД. Если надо, то могу снова переслать. У меня еще несколько вопросов:

1. Могу ли я в таком положении переустановить Ворд? (то есть вирус еще в системе, я его носом чую)
2. Могу ли я закачать сервис пак 3?
3. Может стоит удалить iexplore.exe, что заставит этот вирус вылезти? А потом переписать с другого компа. Благо есть откуда.

[quote=Анастасия Сергиенко]Андрей, все отослала, как просили.[/quote]
Вы прислали карантин утилиты CureIt, а я просил карантин AVZ.
[quote=Анастасия Сергиенко]Не знаю, загрузилось ли то сообщение, где был лог НОД. Если надо, то могу снова переслать.[/quote]Не надо.
[quote=Анастасия Сергиенко]У меня еще несколько вопросов[/quote]
1. Переустановить можете, но поможет ли это не могу сказать, так как причина его не работоспособности не понятна.
2. Можете. Я бы даже сказал должны. Так как троян восстонавливается загадочным образом и скорее всего используя одну из многочисленных уязвимостей Windows XP SP2.
3. Вылезти не заставит. Может только затруднить работу трояна.

У вас установлен антивирус Norton AntiVirus кроме NOD32. Он в нерабочем состоянии? Советую его деинсталировать.

Андрей, спасибо большое, что ответили. НОД его опознает, как Rootkit и Adware.Virtumonde. Сейчас пока не могу его переустановить, он требует для деинсталляции программу-деинсталлятор. Прощу всего было бы снести системник, а потом все установить, но на руках лишь пара драйверов и офис.

Сейчас перешлю вам карантин AVZ, но есть опасения, что товарищ НОД его почистил. Сразу же после этого переустановлю на диск Сервиспак.

Кстати, посмотрела, в реестре все пути, где может скрываться этот Руткит, вроде бы все чисто.

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

Вроде бы закачала. Посмотрите, прошло ли. А за Кьюрит извиняюсь. Кстати, у меня с флешки все стерлось. Я думаю, что просто неправильно ее вытащила.))))

[quote=Анастасия Сергиенко]требует для деинсталляции программу-деинсталлятор. [/quote]Скачайте тут:
[url]http://solutions.symantec.com/sdccommon/asp/symcu_defcontent_view.asp?ssfromlink=true&sprt_cid=6963b863-9269-4ec4-8a44-4e8803bcb0dc&docid=20070816103157EN[/url]

Вроде бы закачала. Посмотрите, прошло ли. А за Кьюрит извиняюсь. Кстати, у меня с флешки все стерлось. Я думаю, что просто неправильно ее вытащила.))))

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Опа, никогда бы не подумала, что сервиспак так весит. Блин, не могу его скачать. У меня Билайновский модем, это повеситься можно, сколько он его качать будет.

Карантин не дошел.

Ох, час от часу не легче. Не запускается Нортон))) Это в зачет вирусу.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]

Спасибо Вам огромное!!!! Удалила Нортон на. Кстати, отправила еще раз карантин, вроде бы прошел. Еще может проверить комп какой-нить программой для поиска руткитов и потом переслать сюда лог?

Карантин пришел.
В нем NOD32 детектирует [B]a variant of Win32/Adware.Virtumonde.NCU[/B]. Похоже у вашего антивируса базы не обновлены :(
Проверять смысла не вижу, надо Windows обновлять.

Понятно. Мда, у меня тут NOD говорит, что я обладаю самой новейшей базой)))))))) Он и Virtumonde.NCU, и Rootkit определяет и в карантине, и в system32, и в temp, но похоже ничего не удаляет. Впрочем сейчас уверена, что найду, где взять SP3. Надеюсь, этот руткит ничего не натворит за 3-4 дня.

Ладно, спасибо Вам большое. Думаю, буду возобновлять тему уже после установки сервиспака. Нет, смысла пока искать. Ладно, спасибо Вам большое. А программы по битью руткитов не имеет смысла заполучить?

[quote]А программы по битью руткитов не имеет смысла заполучить? [/quote]
Хммм... А AVZ и CureIt тогда, что такое по вашему?

Эх, пока они бессильны против этой заразы))))))))

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz00002.dta - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\a0046845.exe - [B]Trojan-Downloader.Win32.Agent.aprg[/B] (DrWEB: BackDoor.Dld.1184)[*] c:\\documents and settings\\boris\\application data\\microsoft\\windows\\lsass.exe - [B]Trojan.Win32.Buzus.adeq[/B] (DrWEB: Trojan.DownLoad.4693)[*] \\c.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] c:\\windows\\system32\\ccjeartw.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\crlauaqv.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\etexfdqs.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\fcgydsqe.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\flfhpkhl.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\ftvauopx.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\fuybovci.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\hbbjvgto.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\hjpovovt.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\knhfnrou.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\kokgflle.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\kouuupcw.dll - [B]Trojan.Win32.Monderd.gen[/B] (DrWEB: Trojan.Virtumod.619)[*] c:\\windows\\system32\\svshost.dll - [B]Backdoor.Win32.Small.grw[/B] (DrWEB: BackDoor.Dld.1184)[*] c:\\windows\\system32\\windata.cab - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.DownLoader.59496)[*] c:\\windows\\temp\\1.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\e.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\1.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\10.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\5.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\9.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[*] \\9______0.tmp - [B]Trojan-Mailfinder.Win32.Small.aj[/B] (DrWEB: Trojan.EmailSpy.167)[/LIST][/LIST]