Блокер

[steel-prom]

ПК Заблокировался, порнобанер, в Безопасный грузится не хотел ругался на Деймон Тулс (sptd.sys) Загрузился с LiveCD в реестре поправил в разделе
Цитата:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws NT\CurrentVersion\Winlogon

Shell был пропатчен и Userinit
В первом C:\Program Files\Internet Explorer\instal.exe
во втором, к сожалению удалил, не сохранив... но что то по типу \\?\globalroot\systemroot\system32......

Логи
AVZ пока выполняется

есть карантин:

Файл сохранён как 100810_125554_virus_4c61141ae6cfc.zip
Размер файла 9071524
MD5 b9a3e8508fcf341c94fdde112efaff1e

[Rene-gad]

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
 StopService('rpcmgr');
 StopService('acpi24Drv');
 StopService('acpi24');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
 QuarantineFile('C:\WINDOWS\system32\srsvc.dll','');
 QuarantineFile('C:\WINDOWS\system32\rpcmgr.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\update.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Mup.sys','');
 QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
 QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
 QuarantineFile('C:\WINDOWS\system32\6to4v32.dll','');
 QuarantineFile('C:\PROGRA~1\vshdf\wgoqw.dlc','');
 QuarantineFile('C:\PROGRA~1\StormII\ifigu.lib','');
 QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Storm\update\jlslh.lib','');
 DeleteService('rpcmgr');
 DeleteService('acpi24Drv');
 DeleteService('acpi24');
 DeleteFile('C:\WINDOWS\system32\rpcmgr.sys');
 DeleteFile('C:\WINDOWS\system32\acpi24.sys');
 DeleteFile('C:\WINDOWS\system32\acpi24.exe');
 DeleteFile('C:\WINDOWS\system32\6to4v32.dll');
 DeleteFile('C:\Documents and Settings\All Users\systems.exe');
 BC_DeleteSvc('rpcmgr');
 BC_DeleteSvc('acpi24Drv');
 BC_DeleteSvc('acpi24');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[steel-prom]

карантин закачал, ток не сохранил MD5

[Rene-gad]

Договариваемся с Вами так: Вы делаете ВСЁ, что нужно, ПОТОМ пишете ответ. Не надо на одно сообщение хелперов отвечать короткими очредями.

[steel-prom]

логи

[Rene-gad]

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gobiu.exe','');
 QuarantineFile('c:\progra~1\vshdf\wgoqw.dlc','');
 DeleteFile('c:\progra~1\vshdf\wgoqw.dlc');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gobiu.exe');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'virus_1.zip');
RebootWindows(true);
end.

После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.

- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
ПОСЛЕ УСТАНОВКИ СП3+ОБНОВЛЕНИЙ+ИЕ8
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
ДРУГИХ ЛОГОВ ДЕЛАТЬ НЕ НАДО.

[steel-prom]

-[url="http://virusinfo.info/showthread.php?t=7239"]После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.

Файл сохранён как 100811_075641_quarantine_4c621f793b239.zip
Размер файла 252912
MD5 730b720aaa8500bbe95eca1c5dd978e2

- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
ПОСЛЕ УСТАНОВКИ СП3+ОБНОВЛЕНИЙ+ИЕ8
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
ДРУГИХ ЛОГОВ ДЕЛАТЬ НЕ НАДО.

Сервис пак 3 не ставится, принт-скрин смотрите

остальное выполнил

[steel-prom]

все.. разобрался, исправил.. сейчас СП_3 установлю (Boot.ini поправил, там какой то "левый" прибамбас для винды грузился

Добавлено через 4 часа 5 минут

что то опять не так?

[Rene-gad]

Логи после установки Сервис Пака - в студию.

[steel-prom]

логи

[Rene-gad]

C:\PROGRA~1\StormII\ifigu.lib Trojan-PSW.Win32.Bjlog.lds Что это за игра? Удалите плиз.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
 DeleteFile('C:\PROGRA~1\StormII\ifigu.lib');
 DeleteFileMask('C:\PROGRA~1\StormII\','*.*',true);
 DeleteDirectory('C:\PROGRA~1\StormII\');
 DeleteFile('C:\PROGRA~1\vshdf\wgoqw.dlc');
 DeleteFileMask('C:\PROGRA~1\vshdf\','*.*',true);
 DeleteDirectory('C:\PROGRA~1\vshdf\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wmdmpmsp\Parameters','ServiceDll');
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[steel-prom]

а то в предыдущем карантине?
все норм?
в скрипте ошибка...

DeleteDirectory('C:\PROGRA~1\StormII\'');

[Rene-gad]

а то в предыдущем карантине?

То, что норм, не удаляем.

в скрипте ошибка...

В самом деле ошибка, подправил скрипт. Выполняйте

[steel-prom]

ок, логи сделать по пункту 2?

[Rene-gad]

ок, логи сделать по пункту 2?

...а так же 1 и 3

- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[steel-prom]

сбор информации

[Rene-gad]

..а так же п. 1 Диагностики.

[steel-prom]

скрипт 3

[Rene-gad]

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
 DeleteFile('C:\PROGRA~1\vshdf\wgoqw.dlc');
 DeleteFileMask('C:\PROGRA~1\vshdf\','*.*',true);
 DeleteDirectory('C:\PROGRA~1\vshdf\');
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог полного сканирования MBAM.

[steel-prom]

логи