Заражение tr_ crypt.xpack.gen 3 возможно что то еще.

[L0fD]

Доброго времени суток!
Попал под мое попечительство очередной тазик, как обычно с полным букетом... тормозов, полтергейстов и т.п. Обычно я не парюсь все сношу ставлю чистую систему с отключенным диском D настройка антивируса и всего остального потом подключаю диск и чищу его. На этом аппарате только один диск и много данных, которые не могут быть удалены (базы бухгалтерии, складов). Висел антивирус но видимо кони и авдары его совсем замучили и он уже ни на что не обращал внимания.
Сайты антивирусов не открывались, Ваш кстати, тоже, удалось попасть только через ip ввод адреса. В общем все мои попытки самостоятельно решить проблему окончились крахом, обращаюсь к обществу.
Cure It и AVPTool выкачать не смог, попытки запустить принесенные на флэшках оканчивались невнятными зависаниями и сообщениями системы.
Остальное в прикрепленных логах, согласно правилам.

[Bratez]

На время лечения отключите компьютер от локалки.
Пофиксите в HijackThis:

Код:

R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe','');
QuarantineFile('C:\WINDOWS\system32\kquyw.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\bmbemu.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\b70bus.sys','');
QuarantineFile('C:\WINDOWS\system32\ANPD.sys','');
DeleteFile('C:\WINDOWS\system32\kquyw.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('nkoauoav');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=92628).
Сделайте новые логи.

[L0fD]

Пофиксил, выполнил скрипт.
В папке карантина были файлы но в ходе выполнения стандартных скриптов №№ 2 и 3 папка оказалась пуста. Из карантина приложить нечего. Логи прилагаю.
После выполнения фиксов и скрипта стал выпускать на сайты антивирусов и virusinfo.info по DNS. Попытка запустить Cure It окончилась сообщением об отказе в доступе.

[Bratez]

Ваш компьютер заражен червем Kido. Поскольку у вас SP2, то система перед ним беззащитна. Я не зря просил на время лечения от сети отключиться. Предполагалось после удаления червя сделать обновление до SP3+. В новых логах червь снова на месте.

В принципе, наверное, нет разницы - вначале лечить, а потом обновлять, или наоборот. Так что если пролечить и обновить оффлайн возможности нет, ставьте сейчас SP3 и последующие обновления, потом повторите скрипт из сообщения #2, присылайте карантин и делайте новые логи AVZ.

[L0fD]

Понял обновляюсь до SP3, пролечусь; отпишусь.

[L0fD]

обновился до SP3.
Результаты:
Карантин:
Файл сохранён как 101129_080140_virus_4cf333b4e5d04.zip
Размер файла 1135169
MD5 719fea7453d1a00b8bcccadc08ea9ae1

[Bratez]

Теперь все чисто.
Какие-то проблемы остались?

[L0fD]

Нет все отлично, перестал постоянно шарится винт, нагрузка на процессор стабилизировалась, зависания прекратились огромное спасибо!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения вредоносные программы в карантинах не обнаружены