Последствия Win32/LockScreen.DB

**Xolod0k** · 13.12.2009, 15:42

Доброго времени суток.

На днях словил вышеуказанную заразу (НОД с последними обновлениями + ZoneAlarm - как словил, до сих пор не понятно). Вирус извел НОДом через командную строку в сейф моде, диспетчер задач и доступ в инет смог восстановить самостоятельно. Но некоторые последствия все же остались, а именно: комп периодически встает в ступор во время работы на 2-3 секунды, причем довольно часто; очень долго при загрузке запускается нод; при попытке открыть странички любым браузером (есть IE, GoogleChrome) открываются либо очень долго, либо не открываются вообще. Сканирование НОДом и DrWEB'ом ничего не дало.

Заранее спасибо за помощь, логи прикреплены.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**snifer67** · 13.12.2009, 15:47

Пофиксить в HijackThis

Код:

O20 - AppInit_DLLs:  msjidpmo.dll

ПК перезагрузите.

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msjidpmo.dll','');
DeleteFile('msjidpmo.dll');
 QuarantineFile('c:\docume~1\8d8d~1\applic~1\online~1\Soapdefyeq.exe','');
 QuarantineFile('c:\program files\eka2\eka.exe','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

**Xolod0k** · 13.12.2009, 17:07

Карантин загружен. Новые логи

**snifer67** · 13.12.2009, 17:28

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{C8A3B994-E27A-42f5-A053-C63799E621FB}');
 QuarantineFile('pashtem.dll','');
 DeleteFile('pashtem.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

**Xolod0k** · 13.12.2009, 17:56

Скрипт выполняется, компьютер перезагрузился, но в карантине ничего нет

**snifer67** · 13.12.2009, 18:21

Делайте новые логи.

**Xolod0k** · 13.12.2009, 18:37

Логи

**snifer67** · 13.12.2009, 19:19

Вы задание ставили A29B1D2491849734.job?

**Xolod0k** · 13.12.2009, 19:24

Я проверил планировщик. Там только задание на обновление GoogleChrome. Сам не ставил ничего

**snifer67** · 13.12.2009, 19:57

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\Tasks\A29B1D2491849734.job');
 QuarantineFile('c:\docume~1\8d8d~1\applic~1\online~1\Soapdefyeq.exe','');
 DeleteFile('c:\docume~1\8d8d~1\applic~1\online~1\Soapdefyeq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Xolod0k** · 13.12.2009, 20:43

Карантин опять пуст.

**thyrex** · 14.12.2009, 00:10

Плохого не видно. Что с проблемой?

**Xolod0k** · 14.12.2009, 22:21

Компьютер по прежнему периодически подвисает на пару секунд. Странички либо загружаются очень долго, либо не загружаются вообще. НОД стал грузиться нормально. Кстати заметил одну особенность - количество отправленных пакетов в состоянии подключения в разы ниже количества полученных (сейчас примерно 800 тыс. против 10 млн.), хотя я ничего не качал, и единственная посещаемая страница - это ваш форум

Добавлено через 5 часов 38 минут

Еще одно наблюдение - комп после перезагрузки работает нормально до момента выхода в интернет. Первая страничка загружается нормально, но последующие уже с затруднениями. А потом начинаются подвисания.

**pig** · 14.12.2009, 22:50

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)

А обновления безопасности на систему установлены? Если нет, то вам ещё везёт.

**Xolod0k** · 14.12.2009, 22:54

Перед тем как обратиться к вам сделал откат (удалил SP3), и видимо с ним удалились и обновления. Думал поможет.

**pig** · 14.12.2009, 23:07

Только хуже сделали. Возвращайте SP3 и доставляйте заплатки, вышедшие после.

**Xolod0k** · 14.12.2009, 23:40

Так вот тут я и сел в лужу. Все скачиваемые SP3 отказываются ставиться. Скачать из инета какие-либо фиксы не выходит по причине нестабильного соединения, завтра у друга наберу пару-тройку вещей и еще попробую.

**pig** · 15.12.2009, 07:16

Сообщение от Xolod0k

Все скачиваемые SP3 отказываются ставиться.

Чем мотивируют? (c)
И откуда вы их качаете? Надеюсь, с microsoft.com?

**Xolod0k** · 15.12.2009, 21:48

C микрософта скачано было 2 SP3: 1й - онлайн установка - даже не запустился, 2й - образ диска - выдал ошибку с ключами (эту проблему сейчас пытаюсь решить). Остальные дистрибутивы,скачанные с других источников, просто вылетали на разных стадиях установки. некоторые даже на стадии backup'a