Решена Поведение Explorer

[dsmirnov]

Здравствуйте! Симптомы "больного": explorer.exe регулярно пытается зайти на удаленные IP (213.5.68.105, 176.65.166.28 и пр.). После предупреждения антивируса, попытки блокируются в ручном режиме. Если разрешить, то во временные папки, такие как Content.ie5 лезут различные вирусы (например, HEUR:Trojan.Script.Iframer (модификация)).
Тотальные проверки Касперский Removal Tool, KAV, AVZ вируса как такового не находят.
Может подскажет кто где эта "дырка" появилась и как её закрывать...

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\wseign32.wse','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\wseign32.wse');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[dsmirnov]

лог Malwarebytes' Anti-Malware во вложенном файле.
попыток соединения вроде как не наблюдается.
Единственное иконка сети (внизу в панели задач) пропала, хотя галочка для отображения сетевого подключения стоит...

 

[dsmirnov]

Добавлю немного подробностей. Иконка сети в трее пропала не случайно после лечения. Козни чинил файл wseign32.wse, который прописался в аплет загрузки systray вместо stobject.dll. Соответственно после физического удаления вредителя systray перестал загружаться. Благо это руками можно быстро поправить в реестре.

 

[Severnyj]

Как самочувствие системы?

 

[dsmirnov]

Сейчас отклонений в работе системы не замечаю.
Спасибо за содействие.
Файл карантина сбросил в "копилку".

 

[Severnyj]

Ознакомьтесь с этими рекомендациями