Помогите разобраться

[Сергей Сергеев из Курска]

Что-то знакомое. На флешке появились копии папок с расширением EXE. Иконки желтые папок, но расширение EXE. Именно большими буквами. Даже копия корзины есть. Естественно скрытые. Я любитель не скрывать, а видеть скрытые файлы и папки. Просто скрытые, не системные. Я поудалял, еще потом у меня Каспер trojan.generic обнаружил. Я удалил вроде как. Вроде прокатило. Хотя и СМС-заставки в ИЕ ловил. а все-равно безалаберно отношусь.

Включил комп. Опа. Нету winlogon'а. CTRL+ALT+DEL дело привычное. Эксплорер.экзе. Нема. Ну ладно. Обзор, Тотал Коммандер. И правда в папке Виндоус эксплорера нема. А меня на Д диске слетевшая из-за Панды антивирус (не нашелся длл-файл) папка Виндоус. В ней родной эксплорер. Думаю в автозагрузку поставлю. Не поставил. Зачем? скопировал.

Здрасте, зато в автозагрузке и систем32 папке знакомая картина: три "имя".EXE папки или файла. Прикольно. В систем32 были СКРЫТЫМИ СИСТЕМНЫМИ, одна не удаляется, пишет занята. Одна-две в автозагрузке напостой появляются. Каспер их песочит, все нормально пишет. Но что-то не прикалвывают эти мутанты-уроды.

Сестра говорла, что на флешке может быть чето. я песочил, Авастом до этого. сейчас Каспером. Ничего не пишут.

Еще Download Expert файлокачалку китайскую установил как раз. Так одна из этих папок в NirSoft CurrPorts с адресом удаленным соединялась. IP браузер и... Baidu. !!!!!!! Строго главная страница портала, они еще хорошо акции в прошлом году разместили. Ну эти процессы я закрыл.

А сейчас смотрите что сидит. NirSoft CurrPorts пишет.

==================================================

Process Name : XP-5AF69718.EXE

Process ID : 2712

Protocol : TCP

Local Port : 4914

Local Port Name :

Local Address : 127.0.0.1

Remote Port : 1110

Remote Host Name : localhost

Process Path : C:\WINDOWS.0\system32\XP-5AF69718.EXE

Product Name :

File Description :

File Version :

Company :

Process Created On: 07.07.2009 1:31:01

User Name : MICROSOF-6D1D53\Администратор

Process Services :

Process Attributes: A

Added On : 07.07.2009 4:35:07

Module Filename : C:\WINDOWS.0\system32\WININET.dll

Remote IP Country :

Window Title :

==================================================

Конечно я сделаю, как в Начале написано.

Но люди, мне уже пора беспокоиться?!

Кто-нибудь с этим сталкивался?

Помогите! Наших бьют!

Я люблю порядок.

Надеюсь, что в тему.

[ТроПа]

Выполните, пожалуйста, Правила

[bestprogs]

Сергей Сергеев из Курска:

Знаю вирус такой :D Вы уже третий кого я знаю, кто пострадал от этого вируса.

!

Предупреждение:

Умерьте флуд. В теме по лечению вирусов вы оставляете какие-то пространные фразы о количестве пострадавших от него пользователей... И так почти везде. Штраф начислен.

Edited July 21, 2009 by Ray