Решена Поведение Explorer

Тема в разделе "Лечение компьютерных вирусов", создана пользователем dsmirnov, 1 фев 2012.

Статус темы:
Закрыта.
  1. dsmirnov
    Оффлайн

    dsmirnov Пользователь

    Сообщения:
    4
    Симпатии:
    0
    Здравствуйте! Симптомы "больного": explorer.exe регулярно пытается зайти на удаленные IP (213.5.68.105, 176.65.166.28 и пр.). После предупреждения антивируса, попытки блокируются в ручном режиме. Если разрешить, то во временные папки, такие как Content.ie5 лезут различные вирусы (например, HEUR:Trojan.Script.Iframer (модификация)).
    Тотальные проверки Касперский Removal Tool, KAV, AVZ вируса как такового не находят.
    Может подскажет кто где эта "дырка" появилась и как её закрывать...
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      28,6 КБ
      Просмотров:
      8
    • virusinfo_syscheck.zip
      Размер файла:
      24,1 КБ
      Просмотров:
      3
    • log.txt
      Размер файла:
      22,7 КБ
      Просмотров:
      6
    • info.txt
      Размер файла:
      45,5 КБ
      Просмотров:
      1
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\wseign32.wse','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\wseign32.wse');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
    1 человеку нравится это.
  3. dsmirnov
    Оффлайн

    dsmirnov Пользователь

    Сообщения:
    4
    Симпатии:
    0
    лог Malwarebytes' Anti-Malware во вложенном файле.
    попыток соединения вроде как не наблюдается.
    Единственное иконка сети (внизу в панели задач) пропала, хотя галочка для отображения сетевого подключения стоит...
     

    Вложения:

  4. dsmirnov
    Оффлайн

    dsmirnov Пользователь

    Сообщения:
    4
    Симпатии:
    0
    Добавлю немного подробностей. Иконка сети в трее пропала не случайно после лечения. Козни чинил файл wseign32.wse, который прописался в аплет загрузки systray вместо stobject.dll. Соответственно после физического удаления вредителя systray перестал загружаться. Благо это руками можно быстро поправить в реестре.
     
    Последнее редактирование: 2 фев 2012
  5. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Как самочувствие системы?
     
  6. dsmirnov
    Оффлайн

    dsmirnov Пользователь

    Сообщения:
    4
    Симпатии:
    0
    Сейчас отклонений в работе системы не замечаю.
    Спасибо за содействие.
    Файл карантина сбросил в "копилку".
     
  7. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
Статус темы:
Закрыта.

Поделиться этой страницей