Всё началось с zerx.exe

[hCG]

Подключил флешку, как обычно (перед тем как открыть) просканировал KIS 8.0 (базы были свежие), ничего не было обнаружено. Открыл флешку, KIS почемуто автоматически добавил zerx.exe в приложения со слабими ограничениями. Было понятно что никаких левых экзешников на флешке быть не должно, открываю KIS быстренько добавляю zerx.exe в недоверенные преложения. Дальше все как обычно, на флешке имеелась скрытая папка Drivers с вышеобозначенным файлом, все удалил. Примерно в это же время KIS начинает меня оповещать о том, что explorer.exe заражен и поместить его в карантин он не может.
После перезагрузки данное оповещение пропало, НО после соединения с интернетом каждые минуты две KIS оповещает о том, что Windows Explorer пытается загрузить вредоносную программу с aranema.myhawkee.com. Одновременно(!) с этим вылетает сообщение:
16 bit MS-DOS Subsystem.
C:\D0CUME^l\DEFAUL«2\Xccgxhj.exe
The NTVDM CPU has encountered an illegal instruction.
CS:0dc3 IP:02If OP:63 6b 67 72 6f Choose 'Close1 to terminate the application
В вышеуказанной папке обнаружены экзешники dfghexjxs.exe, dfghxjxs.exe которые при сканировании KIS никаких признаков вредности не проявляют.
Как избавиться от сей заразы?

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC2A322142');
 QuarantineFile('C:\Driver\Files\zerX.exe','');
 QuarantineFile('C:\WINDOWS\system32\stmctrl.dll','');
 DeleteFile('C:\Driver\Files\zerX.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

[hCG]

архив закачал.
новый лог:

[hCG]

[light59]

zerX.exe - Backdoor.Win32.Poison.abib

Детектирование файла будет добавлено в следующее обновление.

Сделайте ещё это http://virusinfo.info/showthread.php?t=3519

Что с проблемами?

[hCG]

Сделайте ещё это http://virusinfo.info/showthread.php?t=3519

сделаю

Что с проблемами?

вроде пропали, теперь остается вопрос, как окончательно все отчистить от остатков (на С: осталась папка Driver с одним каким-то файлом и что с теми (в папке C:\Documents and Settings\default_name) экзешниками (dfghexjxs.exe, dfghxjxs.exe, Xccgxhj.exe, Xxsdgxhj.exe) делать? и еще флешка осталась (там таже папка (Driver) судя по всему с тем же содержимым)?

[AndreyKa]

Поместите в карантин AVZ (см. приложении 2 Правил) файлы :
C:\Documents and Settings\default_name\*.exe
и пришлите их.
Папку \Driver можно удалить.

[hCG]

прислал.
с флешкой пока ничего не делать?
эти экзешники тоже можно удалять?

[AndreyKa]

Спасибо. Один из файлов может быть вредоносным, подождем ответа аналитика.
Остальные повреждены.
На флешке папку \Driver удалите и файл \autorun.inf тоже.
Присланные ехе файлы удалите.

[hCG]

ок. спасибо!
а универсальной защиты от zerx.exe нет? как впредь защитить себя?

[light59]

Вот так себя защитите
http://virusinfo.info/showthread.php?t=30339

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\default_name\dfghexjxs.exe - Trojan.Win32.Dialer.vdr
  2. c:\driver\files\zerx.exe - Backdoor.Win32.Poison.abib ( DrWEB: BackDoor.Poison.685, BitDefender: Trojan.VB.NYP )