Последствия для системы вируса winlock

[SimplyMary]

Здравствуйте)
Не обошел и меня этот вирус. Окно на весь экран-просьба отправить смс. Нашла с другого компа на сайте код, ввела. Работает. Но не запускается диспетчер задач (не разрешено администратором пишет, а админ-я). Не запускался и редактор реестра, но после проверки cureit стал запускаться. В реестре disabletaskmngr (вроде такое название) значение - 0. Проверяла нодом, avz, avptool, dr.web cure it (только он нашел 2 вируса и удалил). Настройка групповой политики не запускается (система vista home). При проверке wintools.net найдено больше гига темповых (и не только таких) файлов, которые удалены теперь.

Логи прилагаются)
Заранее спасибо.

ps не уверена в названии сего чуда)) мб у вируса другое название. прошу извинить, если не так написала

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

Код:

O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O2 - BHO: Super-Search - search like an expert - {B88F0A3B-663C-4342-A7CE-2D6F81032897} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file)
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O4 - Startup: PowerReg Scheduler.exe

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%USERPROFILE%\Start Menu\Programs\Startup\PowerReg Scheduler.exe','');
 QuarantineFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\PowerReg Scheduler.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\usbser_lowerflt.sys','');
 QuarantineFile('C:\Windows\System32\csrss.exe','');
DeleteFile('%USERPROFILE%\Start Menu\Programs\Startup\PowerReg Scheduler.exe');
DeleteFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\PowerReg Scheduler.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.

[SimplyMary]

Спасибо большое, что откликнулись)
Скрипт выполнен, пофиксено в hijackthis. Диспетчер запускается.Вроде всё работает))

Но есть несколько странных моментов.
1. После новой проверки hijackthis обнаружил опять же "доступ к платному контенту..." FieryAds, но уже версии 2. Делать ничего с ним не буду, без вашего разрешения))
2. До выполнения скрипта в avz, я решила еще раз проверить cureit'ом.(проверяла вчера,часиков в 6, когда еще не было ответа на мою просьбу)) он опять два вируса обнаружил и удалил их. потом я остановила проверку и у меня вылез синий экран злосчастный и комп перезагрузился Так у меня было пару раз и cureit я пока не проверяю))

Карантин сейчас отошлю. Логи новые прилагаю)

[SimplyMary]

ммм, так мне больше никто и не ответит?(

[миднайт]

Сделайте логи из нормального режима, а не из безопасного.

[SimplyMary]

хорошо. извините, что сразу не так сделала. новые логи.

[миднайт]

Все действия выполнять с правами администратора!
В Vista запуск приложения по правой кнопке мыши - запустить от имени администратора.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

Код:

O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O4 - HKCU\..\Run: [csrss] C:\Windows\System32\csrss.exe
O9 - Extra button: Выберите эмоцию, которую Вы хотите сейчас испытать - {DAC5944B-F843-4b90-B605-09DE3360CDE6} - C:\Program Files\MarketGid\EmotionsBar\IeEmotionBarComServer.dll (file missing)
O4 - HKCU\..\Run: [csrss] C:\Windows\System32\csrss.exe

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\Windows\System32\netprotocol.dll','');
 DeleteFile('C:\Windows\System32\netprotocol.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
 QuarantineFile('C:\Windows\System32\csrss.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите

[SimplyMary]

карантин отослала. все проги от имени админа по правому щелчку всегда запускались и сейчас тоже)
новые логи)

[миднайт]

Один вопрос - защитное ПО выгружали при работе с AVZ?
Ничего плохого не обнаружил. Обновите Internet Explorer, java, adobe reader.
Проблема решена?

[SimplyMary]

да, выгружала. куда ж без этого. спасибо большое!
обязательно обновлю.
благодарю за помощь!проблема решена)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены