Попался ещё один комп, зараженный iMax Download Manager
Скорее всего, это уже его вторая модификация:
1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
2) в %system32% всё чисто
3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
rx.bat - 65 байт с текстом
Цитата:
|
Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\duezmimp.dll,Start
|
и
w.bat - 61 байт с текстом
Цитата:
|
Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\xgxdw.dll,Open
|
, которые запускают две dll-ки соответственно. Обе размером
135 198 байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Лечение:
1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\
имя пользователя\Local Settings\Temp\
2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
P.S. Редактор реестра не был заблокирован