Блокировщик, подмена диспетчера задач

[Hind]

Создателей таких вирусов надо сажать на кол. Нет, правда.

Доступ к среде получить можно разблокировщиком по номерам, но через несколько перезагрузок баннер появляется вновь. Кроме того, постоянно жрет ЦП процесс System (загрузка на 100%) вместо нормального "Бездействие системы".
Windows XP Pro SP3.

Вот комплект требуемых файлов. Заранее спасибо, вся надежда на вас. :3

[DefesT]

Отключите восстановление системы
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\temp\wpv931277648030.exe');
 TerminateProcessByName('c:\windows\temp\wpv921277561113.exe');
 TerminateProcessByName('c:\windows\temp\wpv681277560653.exe');
 TerminateProcessByName('c:\docume~1\bbda~1.ser\locals~1\temp\9158315.exe');
 TerminateProcessByName('c:\docume~1\bbda~1.ser\locals~1\temp\574371.exe');
 TerminateProcessByName('c:\docume~1\bbda~1.ser\locals~1\temp\0625919.exe');
 QuarantineFile('C:\WINDOWS\Mstray.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор.SERVER\Application Data\ibnzs.exe','');
 QuarantineFile('H:\check.exe','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe','');
 QuarantineFile('C:\WINDOWS\HELP\SQQNO.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор.SERVER\Application Data\yftza.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\wufout.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\eeewmdkcvrgat.sys','');
 QuarantineFile('c:\windows\temp\wpv931277648030.exe','');
 QuarantineFile('c:\windows\temp\wpv921277561113.exe','');
 QuarantineFile('c:\windows\temp\wpv681277560653.exe','');
 QuarantineFile('c:\docume~1\bbda~1.ser\locals~1\temp\9158315.exe','');
 QuarantineFile('c:\docume~1\bbda~1.ser\locals~1\temp\574371.exe','');
 QuarantineFile('c:\docume~1\bbda~1.ser\locals~1\temp\0625919.exe','');
 QuarantineFile('C:\System Volume Information\_restore{8E95D149-9FEC-42A3-89DB-C88C4D9CBBDA}\RP994\A0221467.exe:userini.exe:$DATA','');
 DeleteFile('C:\System Volume Information\_restore{8E95D149-9FEC-42A3-89DB-C88C4D9CBBDA}\RP994\A0221467.exe:userini.exe:$DATA');
 DeleteService('odcvoc');
 DeleteFile('c:\docume~1\bbda~1.ser\locals~1\temp\0625919.exe');
 DeleteFile('c:\docume~1\bbda~1.ser\locals~1\temp\9158315.exe');
 DeleteFile('c:\windows\temp\wpv681277560653.exe');
 DeleteFile('c:\windows\temp\wpv921277561113.exe');
 DeleteFile('c:\windows\temp\wpv931277648030.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\eeewmdkcvrgat.sys');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\wufout.exe');
 DeleteFile('C:\Documents and Settings\Администратор.SERVER\Application Data\yftza.exe');
 DeleteFile('C:\WINDOWS\system32\sysnkey32.exe');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('H:\autorun.inf');
 DeleteFile('H:\check.exe');
 DeleteFile('C:\Documents and Settings\Администратор.SERVER\Application Data\ibnzs.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','tycoo');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','tycoo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

[Hind]

Карантин отправил ( 100630_131624_virus_4c2b0b6807c4a.zip )
Новые логи прикреплены.

[DefesT]

Пофиксите в Hijackthis:

Код:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\temp\wpv761277721890.exe');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\HELP\SQQNO.exe','');
 QuarantineFile('C:\WINDOWS\Mstray.exe','');
 QuarantineFile('c:\windows\temp\wpv761277721890.exe','');
 DeleteFile('c:\windows\temp\wpv761277721890.exe');
 DeleteFile('C:\WINDOWS\HELP\SQQNO.exe');
 DeleteFile('C:\WINDOWS\Mstray.exe');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','RavTimeXP');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','RavTimXP');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

[Hind]

Есть... ( 100630_144827_virus_4c2b20fb2f679.zip )

[DefesT]

Скачайте файл ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ. Пройдитесь по ссылкам
из файла avz_log.txt и установите обновления.
Пофиксите в Hijackthis:

Код:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\temp\wpv861277648319.exe');
 DeleteFile('c:\windows\temp\wpv861277648319.exe');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFileMask('c:\windows\temp','*.*',true);
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Сделайте новые логи + лог mbam

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 28
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\администратор\application data\yftza.exe - Trojan.Win32.Pincav.acpb ( DrWEB: Win32.HLLW.Autoruner.22584, AVAST4: Win32:Malware-gen )
  2. c:\documents and settings\администратор.server\application data\ibnzs.exe - Trojan.Win32.Pincav.acon ( DrWEB: Trojan.Siggen1.58262 )
  3. c:\documents and settings\администратор.server\application data\yftza.exe - Trojan.Win32.Pincav.acpb ( DrWEB: Win32.HLLW.Autoruner.22584, AVAST4: Win32:Malware-gen )
  4. c:\docume~1\bbda~1.ser\locals~1\temp\0625919.exe - Packed.Win32.Krap.hf ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Delf.PYD, AVAST4: Win32:Trojan-gen )
  5. c:\docume~1\bbda~1.ser\locals~1\temp\574371.exe - Trojan-Dropper.Win32.Vidro.bnh ( BitDefender: Trojan.Generic.4343242, AVAST4: Win32:Bamital-T [Drp] )
  6. c:\docume~1\bbda~1.ser\locals~1\temp\9158315.exe - Trojan-Dropper.Win32.Vidro.bnh ( BitDefender: Trojan.Generic.4343242, AVAST4: Win32:Bamital-T [Drp] )
  7. c:\system volume information\_restore{8e95d149-9fec-42a3-89db-c88c4d9cbbda}\rp994\a0221467.exe:userini.exe:$data - Email-Worm.Win32.Joleee.eya ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4330939 )
  8. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.exz ( BitDefender: Trojan.Generic.4331130, AVAST4: Win32:Malware-gen )
  9. c:\windows\system32\sysnkey32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Click.1014, AVAST4: Win32:Malware-gen )
  10. c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.exz ( BitDefender: Trojan.Generic.4331130, AVAST4: Win32:Malware-gen )
  11. c:\windows\temp\wpv681277560653.exe - Email-Worm.Win32.Joleee.exw ( BitDefender: Trojan.Generic.4331421, AVAST4: Win32:Malware-gen )
  12. c:\windows\temp\wpv921277561113.exe - Email-Worm.Win32.Joleee.exz ( BitDefender: Trojan.Generic.4331130, AVAST4: Win32:Malware-gen )
  13. h:\check.exe - Trojan.Win32.Pincav.acpb ( DrWEB: Win32.HLLW.Autoruner.22584, AVAST4: Win32:Malware-gen )