Винлок и еще немного террариума

[osvald]

Добрый день, попросили посмотреть комп, он был залочен винлоком. Разблокировал кодом с сайта касперского, но самое странное в том, то не далее чем 2 дня назад выпонялась полная проверка свежекупленным КИС2010, он ничего страшного не нашел. На всякий случай проверил еще раз, согласно правилам, снял логи. Посмотрите пожалуйста, может где дропер сидит какой, или недобиток...

[Шапельский Александр]

Добрый день.
Пофиксить в Hijack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\srvany.exe','');
 DeleteService('Reset 5');
 QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
 DeleteService('securentm');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\maenvx.dll','');
 QuarantineFile('C:\Documents and Settings\User\av_md.exe','');
 QuarantineFile('C:\WINDOWS\system32\av_md.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\user32.exe','');
 QuarantineFile('C:\WINDOWS\system32\CmdLineExt03.dll','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\system32\user32.exe');
 DeleteFile('globalroot\systemroot\system32\userinit.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('C:\WINDOWS\system32\av_md.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
 DeleteFile('C:\Documents and Settings\User\av_md.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\maenvx.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
 DeleteFile('C:\WINDOWS\system32\srvany.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[osvald]

Скрипт выполнил, карантин выслал согласно правилам. Но что-то произошло в системе похоже, отказался запускаться хайджек ссылаясь на отсутствие библиотеки msvbvm60.dll, заборол путем установки VBruntime, просканировал но строчки

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

уже не нашел. После перезагрузки не смог нормально стартовать КИС, половина служб повырубалась. Снял новые логи, прикладываю.

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 StopService('iatmunin');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\iatmunin.sys','');
 DeleteService('iatmunin');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\iatmunin.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

вот это

Windows XP SP2
Internet Explorer v6.00 SP2

давайте обновим.

- SP2 обновите до Service Pack 3(может потребоваться активация)
- поставте все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)

после обновления

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[osvald]

Интернета нет, компьютер изолирован.. Скрипты выполнил, карантин высылаю. Обновил систему (включая установку IE посредством диска C't update от вчерашнего числа (SP3+55 обновлений сверху), после этого КИС стартовал без ошибок.

Прикладываю новые логи

[polword]

Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
 O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

все остальное в порядке.
Если больше жалоб нет - лечение можно считать законченным

[osvald]

А вот еще нашел заблокирванный диспетчер задач... я так понимаю можно в "восстановлении системы" все кроме 18 пункта выполнить чтоб уж наверняка?

[polword]

нет, сейчас

Добавлено через 1 минуту

зачем все и сразу....

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(11);
 RebootWindows(true);
end.

отпишитесь

[osvald]

Вроде бы все хорошо, спасибо

[polword]

пожалуйста!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены