Неубиваемый iexplore.exe

[AndreyKa]

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
QuarantineFile('C:\WINDOWS\Temp\2.tmp','');
QuarantineFile('C:\WINDOWS\Temp\4.tmp','');
QuarantineFile('C:\WINDOWS\system32\kouuupcw.dll','');
QuarantineFile('C:\WINDOWS\system32\kokgflle.dll','');
QuarantineFile('C:\WINDOWS\system32\knhfnrou.dll','');
QuarantineFile('C:\WINDOWS\system32\kkfjawsv.dll','');
QuarantineFile('C:\WINDOWS\system32\iqirxckr.dll','');
QuarantineFile('C:\WINDOWS\system32\hjpovovt.dll','');
QuarantineFile('C:\WINDOWS\system32\hbbjvgto.dll','');
QuarantineFile('C:\WINDOWS\system32\fuybovci.dll','');
QuarantineFile('C:\WINDOWS\system32\ftvauopx.dll','');
QuarantineFile('C:\WINDOWS\system32\flfhpkhl.dll','');
QuarantineFile('C:\WINDOWS\system32\fcgydsqe.dll','');
QuarantineFile('C:\WINDOWS\system32\etexfdqs.dll','');
QuarantineFile('C:\WINDOWS\system32\eljndsmd.dll','');
QuarantineFile('C:\WINDOWS\system32\crlauaqv.dll','');
QuarantineFile('C:\WINDOWS\system32\ccjeartw.dll','');
QuarantineFile('C:\WINDOWS\system32\bjdpuhtg.dll','');
QuarantineFile('C:\WINDOWS\system32\aehurngl.dll','');
QuarantineFile('C:\WINDOWS\system32\bvkiqbnn.dll','');
end.

Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

[Анастасия Сергиенко]

Спасибо, большое. Лог прикладываю, iexplore.exe еще висит.

[Анастасия Сергиенко]

Андрей, все отослала, как просили. Кстати, у меня чой-то Ворд перестал загружаться. Только в безопасном режиме и ничего не показывает, но это к сведению, это не проблема, я его переустановить смогу, если что.

Добавлено через 2 часа 1 минуту

Андрей, у меня к вам еще пара вопросов. Не знаю, загрузилось ли то сообщение, где был лог НОД. Если надо, то могу снова переслать. У меня еще несколько вопросов:

1. Могу ли я в таком положении переустановить Ворд? (то есть вирус еще в системе, я его носом чую)
2. Могу ли я закачать сервис пак 3?
3. Может стоит удалить iexplore.exe, что заставит этот вирус вылезти? А потом переписать с другого компа. Благо есть откуда.

[AndreyKa]

Андрей, все отослала, как просили.

Вы прислали карантин утилиты CureIt, а я просил карантин AVZ.

Не знаю, загрузилось ли то сообщение, где был лог НОД. Если надо, то могу снова переслать.

Не надо.

У меня еще несколько вопросов

1. Переустановить можете, но поможет ли это не могу сказать, так как причина его не работоспособности не понятна.
2. Можете. Я бы даже сказал должны. Так как троян восстонавливается загадочным образом и скорее всего используя одну из многочисленных уязвимостей Windows XP SP2.
3. Вылезти не заставит. Может только затруднить работу трояна.

У вас установлен антивирус Norton AntiVirus кроме NOD32. Он в нерабочем состоянии? Советую его деинсталировать.

[Анастасия Сергиенко]

Андрей, спасибо большое, что ответили. НОД его опознает, как Rootkit и Adware.Virtumonde. Сейчас пока не могу его переустановить, он требует для деинсталляции программу-деинсталлятор. Прощу всего было бы снести системник, а потом все установить, но на руках лишь пара драйверов и офис.

Сейчас перешлю вам карантин AVZ, но есть опасения, что товарищ НОД его почистил. Сразу же после этого переустановлю на диск Сервиспак.

Кстати, посмотрела, в реестре все пути, где может скрываться этот Руткит, вроде бы все чисто.

Добавлено через 18 минут

Вроде бы закачала. Посмотрите, прошло ли. А за Кьюрит извиняюсь. Кстати, у меня с флешки все стерлось. Я думаю, что просто неправильно ее вытащила.))))

[AndreyKa]

требует для деинсталляции программу-деинсталлятор.

Скачайте тут:
http://solutions.symantec.com/sdccom...070816103157EN

[Анастасия Сергиенко]

Вроде бы закачала. Посмотрите, прошло ли. А за Кьюрит извиняюсь. Кстати, у меня с флешки все стерлось. Я думаю, что просто неправильно ее вытащила.))))

Добавлено через 8 минут

Опа, никогда бы не подумала, что сервиспак так весит. Блин, не могу его скачать. У меня Билайновский модем, это повеситься можно, сколько он его качать будет.

[AndreyKa]

Карантин не дошел.

[Анастасия Сергиенко]

Ох, час от часу не легче. Не запускается Нортон))) Это в зачет вирусу.

Добавлено через 1 час 6 минут

Спасибо Вам огромное!!!! Удалила Нортон на. Кстати, отправила еще раз карантин, вроде бы прошел. Еще может проверить комп какой-нить программой для поиска руткитов и потом переслать сюда лог?

[AndreyKa]

Карантин пришел.
В нем NOD32 детектирует a variant of Win32/Adware.Virtumonde.NCU. Похоже у вашего антивируса базы не обновлены
Проверять смысла не вижу, надо Windows обновлять.

[Анастасия Сергиенко]

Понятно. Мда, у меня тут NOD говорит, что я обладаю самой новейшей базой)))))))) Он и Virtumonde.NCU, и Rootkit определяет и в карантине, и в system32, и в temp, но похоже ничего не удаляет. Впрочем сейчас уверена, что найду, где взять SP3. Надеюсь, этот руткит ничего не натворит за 3-4 дня.

Ладно, спасибо Вам большое. Думаю, буду возобновлять тему уже после установки сервиспака. Нет, смысла пока искать. Ладно, спасибо Вам большое. А программы по битью руткитов не имеет смысла заполучить?

[AndreyKa]

А программы по битью руткитов не имеет смысла заполучить?

Хммм... А AVZ и CureIt тогда, что такое по вашему?

[Анастасия Сергиенко]

Эх, пока они бессильны против этой заразы))))))))

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 33
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\avz00002.dta - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  2. \\a0046845.exe - Trojan-Downloader.Win32.Agent.aprg (DrWEB: BackDoor.Dld.1184)
  3. c:\\documents and settings\\boris\\application data\\microsoft\\windows\\lsass.exe - Trojan.Win32.Buzus.adeq (DrWEB: Trojan.DownLoad.4693)
  4. \\c.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  5. c:\\windows\\system32\\ccjeartw.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  6. c:\\windows\\system32\\crlauaqv.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  7. c:\\windows\\system32\\etexfdqs.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  8. c:\\windows\\system32\\fcgydsqe.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  9. c:\\windows\\system32\\flfhpkhl.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  10. c:\\windows\\system32\\ftvauopx.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  11. c:\\windows\\system32\\fuybovci.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  12. c:\\windows\\system32\\hbbjvgto.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  13. c:\\windows\\system32\\hjpovovt.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  14. c:\\windows\\system32\\knhfnrou.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  15. c:\\windows\\system32\\kokgflle.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  16. c:\\windows\\system32\\kouuupcw.dll - Trojan.Win32.Monderd.gen (DrWEB: Trojan.Virtumod.619)
  17. c:\\windows\\system32\\svshost.dll - Backdoor.Win32.Small.grw (DrWEB: BackDoor.Dld.1184)
  18. c:\\windows\\system32\\windata.cab - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.DownLoader.59496)
  19. c:\\windows\\temp\\1.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  20. \\e.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  21. \\1.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  22. \\10.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  23. \\5.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  24. \\9.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
  25. \\9______0.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)