В реестре не отображаются ветки пользователей.

Позавчера один из компов на работе словил винлокер. Из последних, как я понимаю, потому что мимо NOD32 просвистел незамеченно. Блокировал только вход тем пользователем, который его подцепил, как в обычном, так и в безопасном режиме. Администратором я мог зайти без проблем, но ... в реестре я не видел в разделе HKUS ветки того пользователя - только свою администратора и системные. Хоть и догадывался, что он сидит в локальном winlogon, но вычистить его оттуда не мог. Визуальный поиск по диску не помог обнаружить слишком подозрительные файлы, видимо они меняли дату. А те которые обнаружил - не смог удалить.

Сегодня утром, после выхода очередного обновления NOD32 наконец при сканировании нашел и обезвредил эту заразу сразу в двух файлах, распознав в ней модифицированный Win32/Kryptik.ZVI. Блокировка снялась и я смог войти пользователем. В реестре обнаружил все ветви - и собственно пользователя и администратора. Определил. что запускались зловреды из HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и из HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Вычистил реестр от следов. зашел снова Администратором - видится только собственная ветка. Ветка пользователя не видна! Создал еще одного администратора - та же картина.

Что только не делал. Обнаружил, похоже еще странный неубиваемый процесс RtkBtMnt.exe, гнездящийся в локальных временных папках и мигрирующих между ними. Вроде бы удалил. Но ветки реестра не появились.

В профайле пользователя лежит странный файл .exe - т.е. без имени. AVZ на него ругается но отложенное удаление не помогает, не говоря уже про обычное.

Такое ощущение, что в системе еще остался какой-то руткит, маскирующий зараженную ветку реестра. Но найти не могу. Может быть как раз этот "безымянный" ... А может быть нет, какая разница, если все равно не удаляется.

Поможите, кто чем может, люди добрые. сами мы не совсем дураки, но что-то концов не вижу.

Уважаемый(ая) [B]Pochemuk[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Отключите Восстановление системы (Приложение 1 правил).

Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

[/CODE]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\5.tmp','');
QuarantineFile('C:\Documents and Settings\Щаницын\.exe','');
DeleteFile('C:\Documents and Settings\Щаницын\.exe');
DeleteFile('C:\WINDOWS\system32\5.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

RtkBtMnt.exe восстановите где лежал, или переустановите Realtek HD Audio Data Rerouter.

1. Базы обновил.
2. Скрипты выполнил. Правда, 5.tmp удалил еще вчера, но в карантине он присутствует. Сейчас вышлю.
3. RtkBtMnt не восстанавливал - он уже самовосстановился сам и спокойно лежит в папках %TEMP% администраторского и пользовательского профайла. Правда, ключей его запуска под администратором не нашел. Если надо, поищу под юзером. Возможно, что я там это находил.

Странный этот RtkBtMnt. Если это легальная программа, то почему она запускается из пользовательских %TEMP%? И почему самовосстанавливается?

G:\autorun.inf
Это ваше?

RtkBtMnt.exe можете проверить на virustotal.com.
Восстанавливают его наверное другие компоненты программы Realtek HD Audio Data Rerouter.
А зачем - это спрашивайте у ее авторов.

G:\autorun.inf - Это не моё. Это вакцинация флешки флешвакцинатором Panda USB Vaccine. Про него тут на конференции я и прочитал.

Больше подозрений не имею.

Так ото ж ... И я тоже. Вроде бы все чисто, но ветки не видны. И если очередной зловред заползет, то я его уже не излечу, пожалуй :)))

Ну тогда подробней объясните - какие именно ветки, укажите их имена, из каких учеток они видны, из каких нет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\щаницын\\.exe - [B]Backdoor.Win32.Bredolab.xky[/B] ( BitDefender: Gen:Variant.Kazy.39611, AVAST4: Win32:MalOb-HN [Cryp] )[/LIST][/LIST]