-
Junior Member
- Вес репутации
- 52
Explorer.exe лезет на zonetech.info и др., странные файлы во временных папках ...
Ребят, помогите пожалуйста.
Симптомы меняются, но одинаково то что при подключении интернета снова появляются вирусы. Папка C:\Documents and Settings\*имя пользователя*\Local Settings\Temp заполняется файлами ***.exe , * - цифра.
Upd: ещё explorer.exe лезет на idfc2.info
Наверное коряво объяснил.. но по логам посмотрите.
Заранее большое спасибо!
Последний раз редактировалось Dmitry11; 05.01.2010 в 16:08.
Причина: поправка
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
O4 - HKLM\..\Run: [avd32] C:\WINDOWS\system32\avd32.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ccdrive32.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ccdrive32.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\avd32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8620181844-2100064797-291966602-7679\sysdrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3737809711-9436411571-897206998-7756\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1779157686-9530150713-706596348-8895\msdrive.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\WINDOWS\ccdrive32.exe','');
DeleteFile('C:\WINDOWS\ccdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3737809711-9436411571-897206998-7756\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1779157686-9530150713-706596348-8895\msdrive.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8620181844-2100064797-291966602-7679\sysdrv.exe');
DeleteFile('C:\WINDOWS\system32\avd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=65993).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Сделал. Файл с карантином назвался 100105_170820_virus_4b4347d488a18.zip
-
Заразы в логах больше не видно.
Папку Local Settings\Temp очистите полностью во всех профилях.
Проблема решена?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Похоже, решена. Спасибо !!
Надеюсь не отнял у вас много времени.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-1779157686-9530150713-706596348-8895\msdrive.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Backdoor.Bot.111797, AVAST4: Win32:Palevo-T [Wrm] )
- c:\recycler\s-1-5-21-3737809711-9436411571-897206998-7756\wmfcgr.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
- c:\recycler\s-1-5-21-8620181844-2100064797-291966602-7679\sysdrv.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Backdoor.Bot.111796, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Palevo-T [Wrm] )
- c:\windows\ccdrive32.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Backdoor.Bot.111836, AVAST4: Win32:Palevo-T [Wrm] )
-