Packed.Win32.PolyCrypt.d

[TVS]

Saule, помогите пoжалуйста советом:

Каспер нашел вирус во веменных файлах интернета, инфицированный вирусом Packed.Win32.PolyCrypt.d, удалить не смог, написал "Объект не был удален из-за возникшей ошибки ввода\вывода". Опасная ситуация и т.д.

Как он его обозвал - file[1].exe, через проводник там такого файла не наблюдалось.

Зато был другой - file.php (http://bibi32.org/505/Xp//file.php) приложение 7кб.

В момент попытки соединения с этим адресом напрочь вырубался firefox - все открытые окна разом.

Временные файлы почистила из второй винды, нужно ли еще что-нибудь проверить (сделать)?

[Saule]

Saule, помогите пoжалуйста советом...

Если вирус был найден Касперским только во временных файлах системы (которые в последствии были очищены) + антивирус после этого случая работает исправно (т.е. не выключается сам неожиданным образом, проявляет свою обычную активность и т.п.), то всё должно быть в порядке. Хотя, чтобы сказать это более уверенно - нужно всё-таки видеть логи.

[TVS]

Saule, вот такие логи:

Logfile of HijackThis v1.99.1

Scan saved at 1:43:04, on 09.10.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\Program Files\Speed Disk\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\notepad.exe

D:\DOK\Полученные файлы\ПРОГРАММЫ\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{7304BF1D-AD58-4B70-A05B-F3D5FD146F77}: NameServer = 212.188.4.10 195.34.32.116

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /Service (file missing)

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /Service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

И AVZ:

avz_sysinfo_9_10_07.htm

Еще недавно в C:\WINDOWS\Downloaded Program Files

обнаружила вот такую штуку {8FFBE65D-2C9C-4669-84BD-5829DC0B603C},

хотела скопировать название - никакой реакции, пришлось списать вручную, удалила.

Что-то вякнуло, но удалилось.

avz_sysinfo_9_10_07.htm

[Saule]

Saule, вот такие логи...

По логам всё выглядит чистым.

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} в папке Downloaded Program Files - скорей всего, принадлежал инсталлятору Adobe Flash Player, который по каким-то причинам, видимо, "встал" некорректно (возможно, когда-то была прервана его установка/закачка, либо он действительно устанавливается именно таким образом).

Если зайти в свойства этого Active-X объекта, то там прямо указана его принадлежность к Adobe (и в описании: Flash UltraShim):

Хотя такое тоже возможно (но это тот же самый Active-X компонент):

[TVS]

Спасибо, Saule, плеер и правда недавно устанавливали.

Про свойства {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} теперь уже не узнаю, он удален.

За все спасибо большое.