вымогатель успел навредить. как его добить?

[bear2bear]

ось win xp sp2
установлен аутлук аутпост.
сидел, как и все ламеры, под админом...

аутпост просигналил, что win\temp\~TM39.tmp ломится в инет. блокирую, тут же новый запрос... и нак несколько раз.
убрал окно запроса вниз, доделал пару дел.. тут буквальна секунд на 10 вылезло вымогательское окно. успел прочитать, что маскируется под Internet Security, которая поймала гадость и теперь требует смс, чтобы его уничтожить.

само закрылось, я перегрузил комп.
удалил содержимое win\temp
поискал подозрительные следы, нашел \siszyd32.exe в автозагрузке. немного потанцевав с бубном, удалил \siszyd32.exe

НО после перезагрузки:
проги не запускаются (нет прав на запуск),
закладка "восстановление системы" в свойствах системы отсутствует

на форуме обсуждалось здесь http://virusinfo.info/showthread.php?t=66833
но у меня, в отличии от автора, остаточные явления (((

остался недобитый вредитель или это он мне напакостил перед смертью?
как восстановить?

спасибо за вашу работу.

[Aleksandra]

AVZ запустить не получается?

[bear2bear]

получается

[Aleksandra]

Тогда пока сделайте только лог virusinfo_syscheck.

[bear2bear]

с зараженного компа в сеть не пускает, так что пишу с другого.
вот логи рекомендованных здесь антивиров.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:

Код:

begin
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('D:\WINDOWS\system32\sdra64.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните в AVPTool скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67445

4. Сделайте новый лог исследования системы.

[bear2bear]

скрипт сейчас запущу...
однако не могу отключить восстановление системы, т.к. закладка "восстановление системы" в свойствах системы отсутствует. как вернуть закладку?

[Aleksandra]

однако не могу отключить восстановление системы, т.к. закладка "восстановление системы" в свойствах системы отсутствует. как вернуть закладку?

Попробуйте такой скрипт:

Код:

begin
ExecuteRepair(6);    
RebootWindows(true);
end.

[bear2bear]

практически все проблемы побеждены за исключением:
1. в устройствах висят девайсы, которые и удалить невозможно и дрова не хотят обновляться
девайсы агнитум - оставшиеся после удаление аутпоста хвосты, которые ничем не могу сковырнуть.
2. так и не появилась закладка про восстановление системы.

из-за проблем с сетевой картой нет инета. чем бы добить эту гадость?

[bear2bear]

Попробуйте такой скрипт:

Код:

begin
ExecuteRepair(6);    
RebootWindows(true);
end.

этот скрипт запускал. закладка "восстановление системы" не появилась.

добавка про попытку запуска "восстановления" из пуска - картинка

[bear2bear]

лог на текущий момент такой

[bear2bear]

доктор, меня все игнорируют )

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('d:\windows\temp\ktcaimngo.dll','');
 DeleteFile('d:\windows\temp\ktcaimngo.dll');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'd:\windows\temp\ktcaimngo.dll', ''));
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','))
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67445

4. Выполните http://www.agnitum.ru/support/kb/art...000159&lang=ru

5. Повторите лог virusinfo_syscheck.

[bear2bear]

1. Отключите восстановление системы и антивирус.

именно в том и проблема, что я не могу отключить восстановление системы, т.к. в "свойствах системы" нет соответствующей закладки.
(см. предыдущий пост с принтскрином)

[Aleksandra]

Это форма ответа такая. Пока пропустите...

[bear2bear]

выполнил. изменений к лучшему не произошло.
картинка с сетевыми девайсами не изменилась
прилагаю отчет

[bear2bear]

вот эти строки из отчета:

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F52C7000, размер=77824, имя = "\SystemRoot\system32\DRIVERS\Rtlnicxp.sys"

не должны насторожить?
Rtlnicxp.sys - это как раз драйвер строптивой сетевой карты. может тут какой подвох?

по п.4 Ваших рекомендаций
у меня стоял Outpost Firewall Pro 2009

выполнил эту часть:
Outpost 2008/2009:
Загрузите файл clean.zip (для 32-битных версий) или clean64.zip (для 64-битных версий) и распакуйте его в папку, которую Вы можете легко найти.
Перезагрузите компьютер в Безопасный Режим. Если вы не знаете, как это сделать, прочитайте статью http://support.microsoft.com/kb/315222/ru.
Запустите распакованный файл clean.exe из папки. После окончания работы этого файла Ваш ПК автоматически перезагрузится

правильно?

[Aleksandra]

вот эти строки из отчета:

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F52C7000, размер=77824, имя = "\SystemRoot\system32\DRIVERS\Rtlnicxp.sys"

не должны насторожить?

Нет.

у меня стоял Outpost Firewall Pro 2009

выполнил эту часть:
Outpost 2008/2009:
Загрузите файл clean.zip (для 32-битных версий) или clean64.zip (для 64-битных версий) и распакуйте его в папку, которую Вы можете легко найти.
Перезагрузите компьютер в Безопасный Режим. Если вы не знаете, как это сделать, прочитайте статью http://support.microsoft.com/kb/315222/ru.
Запустите распакованный файл clean.exe из папки. После окончания работы этого файла Ваш ПК автоматически перезагрузится

правильно?

Да, правильно.

Добавлено через 3 минуты

картинка с сетевыми девайсами не изменилась

Можно попробовать в диспетчере устройств удалить оборудование, а после перезагрузки включить.

[bear2bear]

Можно попробовать в диспетчере устройств удалить оборудование, а после перезагрузки включить.

не дает удалить ни одного из отмеченных воскл знаком устройств (в сейфмоде тоже)
пишет,что невозможно, т.к. они требуются для загрузки системы...

попробовал поставить аутлук заново и снести опять - не помогло.

еще как симптом - с приходом вируса появилась пауза при загрузке винды после заставки с бегунком секунд на 6-7 темнеет, потом Приветствие и далее нормально.
эта пауза в наличии до сих пор.

[Aleksandra]

Проверку компьютера с помощью CureIt делали?