Pennybee и другие подозрительные процессы в диспетчере задач

[Moreno]

Операционная система - Win XP. Проблем в работе системы не наблюдается, однако в диспетчере задач присутствуют подозрительные процессы: wpennybeed.exe, utilNetCrawl.exe и updateNetCrawl.exe.
Перед проверкой утилитой CureIt был ещё один процесс - pennybee.exe. Утилите удалось его удалить, однако в списке установленных программ висит некая pennybee, и датой установки всегда значится текущее число.

[Info_bot]

Уважаемый(ая) Moreno, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

netcrawl
pennybee

удалите через Установку программ

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\Documents and Settings\All Users\Application Data\Mozilla\viphyij.exe','');
 QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvf.exe','');
 QuarantineFile('D:\Program Files\NetCrawl\updateNetCrawl.exe','');
 QuarantineFile('D:\Program Files\NetCrawl\bin\utilNetCrawl.exe','');
 QuarantineFile('D:\DOCUME~1\ALLUSE~1\APPLIC~1\pennybee\wpennybeed.exe','');
 SetServiceStart('wpennybeed', 4);
 DeleteService('wpennybeed');
 SetServiceStart('Util NetCrawl', 4);
 DeleteService('Util NetCrawl');
 SetServiceStart('Update NetCrawl', 4);
 DeleteService('Update NetCrawl');
 DeleteFile('D:\DOCUME~1\ALLUSE~1\APPLIC~1\pennybee\wpennybeed.exe','32');
 DeleteFile('D:\Program Files\NetCrawl\bin\utilNetCrawl.exe','32');
 DeleteFile('D:\Program Files\NetCrawl\updateNetCrawl.exe','32');
 DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvf.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mprsvf Security Service','command');
 DeleteFile('D:\WINDOWS\Tasks\pennybee Runner.job','32');
 DeleteFile('D:\Documents and Settings\All Users\Application Data\Mozilla\viphyij.exe','32');
 DeleteFile('D:\WINDOWS\Tasks\qvgwwim.job','32');
 DeleteFile('D:\WINDOWS\Tasks\Tempo Runner.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Moreno]

netcrawl, pennybee удалите через Установку программ

netCrawl в списке установленных программ не было. Когда попытался удалить pennybee, выскочило сообщение, что произошла ошибка, и приложение уже удалено.

Далее всё сделал по списку за исключением отправки карантина - я так и не понял какой именно файл нужно присылать. Пробовал отправить virusinfo_autoquarantine.zip из папки лог, но ваша система отвергла его. К тому же он пустой и весит 1кб.

К тому же, на данный момент, после проведённых операций подозрительные процессы исчезли. Можно ли считать лечение завершённым?

[thyrex]

Поместите в карантин МВАМ всё, кроме

Код:

Trojan.Dropped, D:\Documents and Settings\?*?°?±??N??°N?N?\Local Settings\Temp\242.tmp\hidcon.exe, , [678bbf2ee79483b3c18cb819cf329f61],

[Moreno]

Готово! Нужно сделать что-нибудь ещё?

[thyrex]

Что с проблемой?