Здравствуйте! Я подцепил вирусняк Email-Worm.Win32.Scano.bd
Причем подцепил я его в очень тупой ситуации пришло мне письмо от девушки, типа с ней я давно не виделся, обещал позвонить,но не позвонил, в письме она прикрепила якобы фотки с подругой, как они гуляли в парке.....ну я с дуру, не посмарев на размер файла (20кб!!!!!!), скачал его себе и запустил.........
После чего мой антивирь нортоновский (у мя их 2: один касперский 4.5, другой нортон, причем нортон стоит в мониторе, оба с последними базами) начал визжать, что мол вирус.... удалил вроде все норм... оставил я комп на некоторое время.... возвращаюсь и вижу, что комп мой пыхтит и старательно так выкачивает из нета какую-то фигню (за мое отсутствие он выкачал около 100 метров!!!!), залез я в оутпост фаер посмареть откуда и какая прога качает.....
Качал iexplore.exe с похожими айпишниками.... что-то вроде 66.215.**.** и бьет все по одному локальному порту (позже я заметил, что порты меняются при перезагрузке компа).... ладно думаю, заблочил этот порт, но с завидным упорством ie бьется в этот порт... переконнекчиваюсь и все норм....
Решил я тогда просканить комп антивирем, и тот нашел аж 300 с лишним тул вирусов того самого вируса Email-Worm.Win32.Scano.bd, причем нашел он его еще в windows/csrss.exe, удалив все, avp сказал готово, но тут начала брыкаться винда (!!!) сказав, мол защита целостности системных файлов.... начала че-то делать, потребовав при этом установочный диск.....
На следующий день та же фигня.... бьется ie в один порт пытаясь че-то закачать... причем у меня не было открыто ни одного окна эксплорэра.... залез в диспечер задач, а там IEXPLORE.EXE причем запущен system (!!!)... при убивании процесс востаналивается.... после я заблочил на оутпосте iexplore.exe и стал наблюдать, что он делает..... фаер стал отмечать: в интервале 15-20 мин iexplore.exe посылает данные по smtp на maila.microsoft.com и еще куда-то по локалке....
Зашел на viruslist.com почитал там о вире Email-Worm.Win32.Scano.b, выполнив инструкции по удалению, ничего не изменилось...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
потом отчасти решил проблему.... с харда друга (с его операционки) удалил со своего харда зараженный csrss.exe, после чего запустил свою операционку.... Увидев, что дальше фона рабочего стола ничего загружаться не хочет, я запустил диспечер задач, увидел что explorer.exe не запускается, запустил regedit и почистил ту строку которую указывали на viruslist.com. после чего рестарт и "О ЧУДО!!! ОНО ЖИВОЕ!!!!" но так и не решил как быть с неубиваемым iexplore.exe
обнаружил очень интересную вещь.... порылся я в папке internet explorer и обнаружил там файлик iedw.exe ... причем если его удалить и завершить неубиваемый процесс iexplore.exe, то файлик востанавливается.... решил я его поискать в реестере и обнаружил, что оказывается этот файлик содержится в одном из пакетов обновлений..... причем если взять и переименовать iexplore.exe то он воссоздается новым..... и терь черт знает что делать: может этот iexplore полезный??? тогда нах он лезет в инет?? и если майкрософт решили сделать нам всем доброе дело, запуская iexplore.exe заранее, тогда нах он лезет в инет.... и если это все-таки с обновлением, то у всех ли висит процесс iexplore.exe????
Frum большая просьба, когда в следующий раз будете делать логи - позакрывайте всё, что у вас висит в трее
iedw.exe пришлите нам на анализ,
и ещё -
AVZ - "Файл"=>"Выполнить скрипт"
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
end.
После выполнения зайдите в "Сервис"=>"Менеджер автозапуска"
и удалите оттуда все строки содержащие
Код:
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
Затем перезагрузитесь не выходя их AVZ
После перезагрузки пришлите нам файл из карантина AVZ, как написано в правилах и повторите 2 последних лога из правил для проверки.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: