Зараза

[Bratez]

C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe -этот файл был на момент заражения, но сейчас его нет!
Нашел нечто подобное MfcdFree.exe-00C2D669.pf в папке C:\Windows\Prefetch

Пришлите его.

C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\Sy stem.dll - такой директории C:\DOCUME~1 нет, равно как и файла. System.dll есть, но не в папке nsb7.tmp

Выражение вида DOCUME~1 означает, что имя папки начинается на DOCUME и имеет длину более 8 знаков. В данном случае очевидно это папка Documents ans Settings.
КОНСТА~1.T98 скорее всего КОНСТАНТИН.T98
(или как у вас называется пользователь)
LOCALS~1 = Local Settings

[kservice]

Что мне делать дальше? Поиск осуществлял так, как Вы сказали. Искал и вручную, и с помощью процедуры ПОИСК.

[Макcим]

Ну получилось их закарантинить в ручную?

[kservice]

Пришлите его.

Выражение вида DOCUME~1 означает, что имя папки начинается на DOCUME и имеет длину более 8 знаков. В данном случае очевидно это папка Documents ans Settings.
КОНСТА~1.T98 скорее всего КОНСТАНТИН.T98
(или как у вас называется пользователь)
LOCALS~1 = Local Settings

Все это я знаю уже лет 10. Там и смотрел. Но папки nsb7.tmp нет!
Файл MfcdFree.exe-00C2D669.pf отправил.

Файл сохранён как 070323_235641_virus_230307_46043f0976601.zip
Размер файла 12175
MD5 76697430c42f905a1af0bf5d1b57eada

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\docume~1\конста~1.t98\applic~1\binloc~1\Nurb plus way.exe');
 DeleteFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После этого:
1. Панель управления - Назначенные задания - удалите задание.
2. Очистите полностью папку C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp.
3. Сделайте новые логи.

[kservice]

Компьютер перезагрузится. После этого:
1. Панель управления - Назначенные задания - удалите задание..

Был только пункт "Добавить задание"

2. Очистите полностью папку C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp. .

Очистил папку C:\Documents and Settings \Константин.T98SAREB86S4DOC \Local Settings\Temp
Из этой папки не смог удалить nsk3.tmp\system.dll

3. Сделайте новые логи.

Сделал и загрузил
Файл сохранён как 070324_151627_virus_240307_4605169be9918.zip Размер файла28929
MD5 d01f79052d9f5ff645e73d66f6c8763a

Логи прикреплять надо к сообшению!!!!

[Bratez]

kservice, Вам говорит о чем-нибудь название программы RedSwoosh?

[kservice]

RedSwoosh - это программа-загрузчик. Была установлена по предложению, не помню какого, файлообменника типа FileFactory. Установлена после описаных событий. Вызывает подозрение?

[Bratez]

Да. Дело в том, что именно она использует тот неуловимый файл system.dll, который появляется то в одной то в другой подпапке в Local Settings\Temp. Скажем так, слишком "некрасивое" поведение для легитимной программы.

[Bratez]

Попробуйте добавить в карантин тот неудаляемый экземпляр system.dll в какой-то из подпапок Local Settings\Temp и пришлите по правилам.

[kservice]

Сделал.
Файл сохранён как 070324_165440_virus_2_240307_46052da091efb.zip

[Bratez]

Проверил на Вирустотале - все дружно сказали "Чист!".
Я думаю, если у вас все работает нормально, то на этом можно закончить.

[kservice]

KAV предупреждает о наличии вирусов. Можно их удалить?

[Bratez]

Не можно, а нужно! Только пожалуйста подробности - в студию, что же мы там прошляпили?

[kservice]

Думаю, что Вы ничего не прошляпили. По-моему, эти вирусы - результат загрузки файлов за последние 2 дня. Сделаю полную проверку- сообщу.
А что такое Вирустотал?

[Bratez]

А что такое Вирустотал?

http://www.virustotal.com

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 15
• В ходе лечения вредоносные программы в карантинах не обнаружены