Internet security

[Дим Димыч]

принесли ноутбук - все теже симптомы, Internet security обнаружил вирусы, бла-бла, отправте смс, осталосб 23 часа. перегрузился, поставил дату в биосе на день вперед, в windows internet security пропало, но все так же не запускаются никакие диагностические программы, даже переименнованые. защел в system32, обнаружил там 5 файлов с разными именам и названиями созданные сегодняшней датой(измененной) -снес их, среди них оказался файл userinit.exe -в итоге пересталась грузиться система. загрузился с livecd от касперского с обнавлеными данными, поставил из dllcache новый userinit запустил сканирование -нашлось около 5 зверей, все удалил - защел в windows - все попрежнему ничего не могу запустить... удалось сделать логи от hijackthis

[AndreyKa]

Пофиксте в HijackThis следующие строки:

O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [windump] C:\WINDOWS\system32\wbem\svchost.exe
O4 - HKLM\..\Run: [services.exe] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [windump] C:\WINDOWS\system32\wbem\svchost.exe

После перезагрузки сделайте новый лог HijackThis и приложите сюда.
Попробуйте сделать логи AVZ.

[Дим Димыч]

после проделанных действий, hijackthis уже не запускается. оказались в начале, опять выскакивает банер internet security. коды подобрать не удалось, от сервисов что предлагались на форуме -код не подходит.
могу опять проделать операцию с переводом времени...что посоветуете?

[AndreyKa]

1) Скачайте http://download.bleepingcomputer.com/Merijn/adsspy.zip
2) Загрузите компьютер с какого-нибудь LiveCD на базе Windows
3) Запустите скаченный ADSSpy.exe
4) Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
5) Нажмите кнопку Scan the system for alternate data stream
6) На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View steam contens
7) Нажмите кнопку Save to disk
8 ) Сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of ....
9) Нажмите кнопку Back
10) Повторите с шага 6 процедуру для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить)
11) Запакуйте сохраненные файлы в zip-архив с паролем virus
и загрузите через ссылку Прислать запрошенный карантин вверху этой темы.

[Дим Димыч]

нашелся только 1 файл в папке windows. что-то типа kb90452.log
карантин васлал

[AndreyKa]

DrWEB 5.0: Trojan.Winlock.938
Повторите пункты 2-5
В строчке с c_windows_kb920213.log_ghtteny2wb.bin поставьте галочку
Нажмите кнопку Remove selected stream
Загрузите компьютер с жесткого диска
Выполните Правила.
Может потребоваться переименовать exe файл AVZ.

[Дим Димыч]

после удаления скрвтого потока, удаорсь запустить avz, но обнаружил что в свойствах моего компьюьера нет закладки безопасности ...очень странно.
сделал логи как есть

[AndreyKa]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
 ExecuteRepair(6);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\KB920213.log:GhtTEny2WB','');
DeleteFile('C:\WINDOWS\KB920213.log:GhtTEny2WB');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs', '');
BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
Проблема решена?

[Дим Димыч]

из начальных проблем осталась только одна - рабочего стола не видно, то есть все старые ярлыки -не видно, и при создании новых тоже не видно..или они просто не создаются. пробывал через avz востановление насироек рабочего стола -получил access vailation

Файл сохранён как100124_192615_virusinfo_files_USER_55_4b5c74a73 d1e8.zipРазмер файла2818090MD5ef0cecbe931230e05ae208c56bf48ca8

[AndreyKa]

Не видно ничего подозрительного.
Кнопка Пуск - Выполнить:
"%USERPROFILE%\Рабочий стол"
Получилось что-нибудь?

Архив 100124_192615_virusinfo_files_USER_55_4b5c74a73d1e 8.zip, загружен 24.01.2010 19:40:34, размер 2818090 байт
Всего файлов: 19 (исполняемых 19), из них:
зловреды или опасные объекты: 0
подозрительные: 0

[Дим Димыч]

проблема решилась так - правая кнопка мыши на рабочем столе -> упорядочить значки -> отобрадать значки рабочего стола
все, пациент здоров

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \c_windows_kb920213.log_ghtteny2wb.bin - Trojan.Win32.Pakes.nvm ( DrWEB: Trojan.Packed.19647, AVAST4: Win32:Malware-gen )