Редкий вирус

**KlaMir** · 16.08.2006, 18:46

Здравствуйте. Недавно на своём компьютере я обнаружил странную вещь. Когда я нажимаю на exe-файл любой программы, открывается не сама программа, а прога Microsoft Excel. Похоже вирус. Но какой? Я пытался найти его Др.Вебом и Касперским – не помогло. Его не находит ни один антивирус. Помогите плиз.

Те же ошибки:
http://forum.drweb.ru/index.php?showtopic=40283

http://www.kaspersky.ru/forum?page=0...nmsg=157200807

http://forums.avalon.ru/forum/post.a...575&FORUM_ID=3

http://filext.com/info/showthread.php?t=12

Может быть это эти врусы:
http://www.kaspersky.ru/find?words=w32.Jeefo&search=1

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Alexey P.** · 16.08.2006, 18:51

Вверху смотрите ссылку на Правила.
Внимательно прочтите, аккуратно выполните.

ЗЫ: Гадать лучше по логам. Вот их и прикрепите здесь.

**KlaMir** · 16.08.2006, 19:05

Ок.

**pig** · 16.08.2006, 19:34

Пришлите, как написано в Приложении 2 правил, следующие файлы (что найдётся):

Код:

E:\Program Files\Affiliate Beta\untitled.dll
E:\WINDOWS\System32\lafkaiwy.dll
c:\\keyboard25.exe
c:\\newname25.exe
E:\WINDOWS\svchost.exe
ydax.exe
E:\WINDOWS\System32\win32bootcfg.exe
cwz.exe
E:\WINDOWS\System32\csrss.dll
E:\WINDOWS\system32\lvjm0911e.dll
E:\WINDOWS\System32\Phapgl32.dll
E:\WINDOWS\win32host.exe
E:\WINDOWS\system32\config\SYSTEM~1\МОИДОК~1\FNTS~1\wucrtupd.exe
E:\Program Files\Common Files\F?nts\rеgedit.exe
E:\WINDOWS\DOWNLO~1\Install.dll
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\system32\aiycfilt.dll
E:\WINDOWS\system32\hatplug.dll

P.S. Непонятно, то ли на самом деле гадюшник такой, то ли реестр замусорен. Ещё следы Dr.Web видать, но самого почему-то в живых не наблюдается.

**KlaMir** · 16.08.2006, 20:17

нашлось всего 3 файла

**pig** · 16.08.2006, 20:37

Не сюда! Ещё раз читайте Приложение 2. Авось, с помощью AVZ и больше найдёте.

**Alex Plutoff** · 16.08.2006, 23:43

Сообщение от pig

Пришлите, как написано в Приложении 2 правил, следующие файлы (что найдётся):

Код:

E:\Program Files\Affiliate Beta\untitled.dll
E:\WINDOWS\System32\lafkaiwy.dll
c:\\keyboard25.exe
c:\\newname25.exe
E:\WINDOWS\svchost.exe
ydax.exe
E:\WINDOWS\System32\win32bootcfg.exe
cwz.exe
E:\WINDOWS\System32\csrss.dll
E:\WINDOWS\system32\lvjm0911e.dll
E:\WINDOWS\System32\Phapgl32.dll
E:\WINDOWS\win32host.exe
E:\WINDOWS\system32\config\SYSTEM~1\МОИДОК~1\FNTS~1\wucrtupd.exe
E:\Program Files\Common Files\F?nts\rеgedit.exe
E:\WINDOWS\DOWNLO~1\Install.dll
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\system32\aiycfilt.dll
E:\WINDOWS\system32\hatplug.dll

-стянутый с hттp://freepcscan.com/spyware/Install.cab E:\WINDOWS\DOWNLO~1\Install.dll тоже особого доверия не вызывает, тем более, что Dr.Web ругается: Install.cab\Install.dll является рекламной программой Adware.SpywareStorm
...кроме того и E:\WINDOWS\Downloaded Program Files\Rovion.dll от hттp://www.rovion.com/Controls/Rovion.cab не совсем чисто прошёл проверку на VirusTotal

Сообщение от pig

P.S. Непонятно, то ли на самом деле гадюшник такой, то ли реестр замусорен. Ещё следы Dr.Web видать, но самого почему-то в живых не наблюдается.

-ну, если там Windows XP SP1 без заплаток, то вполне может быть что "на самом деле гадюшник"

**KlaMir** · 17.08.2006, 10:02

Закачал как надо. Только больше 3ёх файлов не нашёл все равно.. (

**AndreyKa** · 17.08.2006, 14:25

Сообщение от KlaMir

Когда я нажимаю на exe-файл любой программы, открывается не сама программа, а прога Microsoft Excel.

В AVZ меню файл Восстановление системы - в первой строчке поставьте галочку. Нажмите кнопку Выполнить ... Перезагрузите компьютер. Теперь запускаются?

**pig** · 17.08.2006, 14:32

Насколько я понимаю, аналогичный по эффекту совет с REG-файлом, данный на форуме drweb.ru, не прошёл.

**MOCT** · 17.08.2006, 14:36

Сообщение от KlaMir

Закачал как надо. Только больше 3ёх файлов не нашёл все равно.. (

Да не те файлы вы закачиваете!
Вам указали файлы с конкретными путями, а вы вместо E:\WINDOWS\svchost.exe прислали E:\WINDOWS\system32\svchost.exe.

Искать файлы нужно из AVZ. найденный файлы добавлять в карантин. Весь карантин прислать по правилам форума.

Программой HijackThis пофиксите строки
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchfeed.com/rd/404/404...ID=O2305127731
R3 - URLSearchHook: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O2 - BHO: (no name) - {5221074C-E486-C028-A561-EC1CF6ECE2C6} - E:\WINDOWS\System32\lafkaiwy.dll (file missing)
O3 - Toolbar: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O4 - HKLM\..\Run: [keyboard] c:\\keyboard25.exe
O4 - HKLM\..\Run: [newname] c:\\newname25.exe
O4 - HKLM\..\Run: [InternetServ] E:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Windows ASN4 Services] ydax.exe
O4 - HKLM\..\Run: [Windows Core Kernel Update] E:\WINDOWS\System32\win32bootcfg.exe
O4 - HKLM\..\RunServices: [Windows ASN Services] cwz.exe
O4 - HKLM\..\RunServices: [Windows ASN4 Services] ydax.exe
O9 - Extra button: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O9 - Extra 'Tools' menuitem: Affiliate Beta - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - E:\Program Files\Affiliate Beta\untitled.dll (file missing)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} (CInstall Class) - http://freepcscan.com/spyware/Install.cab
O16 - DPF: {24D1BDCE-D835-11D6-BF84-0050047EA0E7} (BlueStream_Flash Class) - http://www.rovion.com/Controls/Rovion.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} -
O20 - AppInit_DLLs: E:\WINDOWS\System32\csrss.dll
O20 - Winlogon Notify: Nls - E:\WINDOWS\system32\lvjm0911e.dll (file missing)
O21 - SSODL: IEBJA0BF - {1D343134-6255-2C3E-0891-0FA207C21318} - (no file)
O21 - SSODL: mtklefa - {6FD328B9-586D-4F98-9C9A-366CEDD8B427} - (no file)
O21 - SSODL: Web Event Logger - {79FB9088-19CE-715D-D85A-216290C5B738} - E:\WINDOWS\System32\Phapgl32.dll (file missing)
O23 - Service: Network Monitor - Unknown owner - E:\Program Files\Network Monitor\netmon.exe (file missing)

после чего перезагрузитесь и сделайте новый лог HijackThis. Приложите его к этой теме и сразу будет понятно - реестр замусорен, или действительно полно заразы.

И еще - пришлите файлы:
E:\WINDOWS\System32\stlshell.dll
E:\System Volume Information\_restore{5D818203-277E-4890-90AC-003E003A1B8B}\RP38\A0003643.dll
E:\WINDOWS\DOWNLO~1\Install.dll
(он же E:\WINDOWS\Downloaded Program Files\Install.dll )

**KlaMir** · 17.08.2006, 19:11

Я файлы искал с помощью AVZ но нашлось только три… я вам уже говорил. Если заархивировать карантин, то там только один файл (я его прикрепил). + профиксеный лог - снизу.

**pig** · 17.08.2006, 19:20

Восстановление системы в AVZ делали? Помогло?

**KlaMir** · 17.08.2006, 19:43

Делал. Не помогло. Я бы так нарисал..

**MOCT** · 17.08.2006, 19:49

Сообщение от KlaMir

Я файлы искал с помощью AVZ но нашлось только три… я вам уже говорил. Если заархивировать карантин, то там только один файл (я его прикрепил). + профиксеный лог - снизу.

1. профиксенный лог совершенно "левый" - я не поверю, что у вас куда-то делись все программы, загружаемые через Run в реестре
2. никакого прикрепленного файла я не вижу.
3. в присланном архиве
%F4%E0%E9%EB%FB_44e40629e4abe.rar
есть скриншот карантина, с котором видны интересующие нас файлы (untitled.dll, stlshell.dll и т.п.)
значит в карантине они у вас есть.

а те файлы, которые вы присылаете, они НЕ ТЕ.

**KlaMir** · 17.08.2006, 20:25

1. профиксенный лог совершенно "левый" - я не поверю, что у вас куда-то делись все программы, загружаемые через Run в реестре

Ну это уже я пасс... Я всё сделал как вы сказали..

Я послал файл virus.rar . Это нужные файлы?

**AndreyKa** · 17.08.2006, 21:04

Сообщение от KlaMir

1. профиксенный лог совершенно "левый" - я не поверю, что у вас куда-то делись все программы, загружаемые через Run в реестре

Ну это уже я пасс... Я всё сделал как вы сказали..

Признавайтесь, вы ВСЕ строки в HijackThis пофиксили?

Сообщение от KlaMir

Я послал файл virus.rar . Это нужные файлы?

Да. Пришли из тех что просили 2
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\System32\stlshell.dll
А E:\Program Files\Affiliate Beta\untitled.dll, который виден на скриншоте в карантине, не пришел.

**MOCT** · 17.08.2006, 21:05

Сообщение от KlaMir

Я послал файл virus.rar . Это нужные файлы?

пришел virus.zip
в нем только два файла (хотя в карантине должно быть около 27 файлов). остальные будут?

**KlaMir** · 18.08.2006, 11:09

Сообщение от AndreyKa

Признавайтесь, вы ВСЕ строки в HijackThis пофиксили?

Все. Причем потом повторно фиксил - не помогло.

Сообщение от AndreyKa

Да. Пришли из тех что просили 2
E:\WINDOWS\Downloaded Program Files\Rovion.dll
E:\WINDOWS\System32\stlshell.dll
А E:\Program Files\Affiliate Beta\untitled.dll, который виден на скриншоте в карантине, не пришел.

Просто тот карантин я удалил.. Потом ещё раз просканировал всё AVZ а тех файлов уже нет в карантине ;( Те которые есть я сейчас ВСЕ послал…

Внизу протокол AVZ – может как-нибудь поможет разобраться

**MOCT** · 18.08.2006, 11:28

Сообщение от KlaMir

Все. Причем потом повторно фиксил - не помогло.

а кто вас просил удалять ВСЕ? были указаны конкретные строки, которые нужно было удалить.
вы или прислушиваетесь к советам, и в результате получаете положительный результат, либо занимаетесь самолечением, и с нас снимается вся ответственность за последствия

Сообщение от KlaMir

Внизу протокол AVZ – может как-нибудь поможет разобраться

у вас по прежнему на диске присутствует файл
E:\System Volume Information\_restore{5D818203-277E-4890-90AC-003E003A1B8B}\RP38\A0003643.dll
который я уже просил прислать на исследование.

и еще - сделайте новое исследование системы программой AVZ и приложите к теме.

Редкий вирус (заявка № 6062)

Опции темы

Редкий вирус

Ваши права в разделе