Winupgro.exe и его последствия

[tester8]

Здравствуйте, уважаемые форумчане. В свое время я поймал один злостный вирус. Он отключал все антивирусники, и блокировал или завершал работу антивирусных программ, скачивал на мой жесткий диск кучу мелкого мусора в архивах... Посидев изрядное время за кампом, я заметил что вирус удалял драйвера устанавлеемых антивирусов, и блокировал их установку, прописавшись где то в реестре, таким образов легализировав себя в системе.
Изрядно перерыв интернет, в поисках решения проблемы, и покопавшись в файлах мне удалось справиться с ним заблокировав и удалив с помощью программок spydetector322rus и Stopzilla, так как все возможные ноды и касперы просто не устанавливались в системе.
В общем типа все рады, все счастливы, но...)
Безопастный режим не работает, выдает синий экран с ошибкой, в свойствах локального диска минимум 3-4 гига свободного пространства, А выдает максимум 1-2 гига. Что самое интересное что когда лимит загруженных файлов превышает эти 2 гига, то выдает системную ошибку что место на диске исчерпалось, и после этого, каким то мистическим образом, показывает реальное оставшиеся свободное пространство..
Брендмаувер не работал, и сеть отображалась серым, хотя в диспечере задач она была включенна и выполнялась.
Полазив в Службах компонентов мне удалось включить их.
Однако ясно что какая то гадость в реестре и на диске осталась.
Можна как либо исправить это все ?
З.Ы. а все начиналось с наивной попытки скачать Net.Framework с DC ...))

[Info_bot]

Уважаемый(ая) tester8, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[tester8]

ыть)

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\WINDOWS\winbait.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(10); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Шапельский Александр]

Отключите восстановление системы.

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
Executerepair(10);
Executerepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[tester8]

ок ща сделаю)

[tester8]

Шапельский Александр, я воспользовался вашим скриптом.
winbait.exe - это не вирус я проверил его на онлайн сканере на сайте доктора веб. Плюс у мну стоит прога которая юзает его)
По поводу карантина в папке не было никаких архивов кроме текстовых файлов .Возможно я раньше удалил эти вирусы, а записи в реестре остались.
Безопасный режим работает.
Вроде все пока норм)

[Шапельский Александр]

Сделайте лог полного сканирования МВАМ