следы после синего баннера "Windows заблокирован"

Походу,это был trojan.winlock.6234 (судя по картинке :-D).

После Kaspersky WindowsUnlocker удалил ms.exe из c:\documents and settings\mag - баннер пропал. :D AVPTool и cureIt следов винлока не нашли.
Проверил на virustotal и virusscan userinit,taskmgr,taskman:

1) userinit из system32 и C:\WINDOWS\ServicePackFiles\i386
и
все 3 файла taskmgr
(из system32,C:\WINDOWS\$NtServicePackUninstall$ и C:\WINDOWS\ServicePackFiles\i386)
- чистые,

2) userinit из C:\WINDOWS\$NtServicePackUninstall$ - nProtect детектит Trojan/W32.Small.25088.BP,а McAfee-GW-Edition - Heuristic.LooksLike.Win32.Suspicious.I,

3) в taskman (из system32 и system32\dllcache) и TASKMAN (из C:\WINDOWS) только CPsecure нашел Packed.W32.PolyCrypt.B.

После удаления баннера снова запустил Kaspersky WindowsUnlocker- по-прежнему:
"Userinit - подозрительная модификация: userinit.exe
Userinit - восстановлено в C:\WINDOWS\system32\userinit.exe".

userinit заражен? Какие-нибудь системные файлы нужно менять?

З.Ы. также проверил на virustotal wiasf.ax (от "MyCompanyName") в папке system32 - esafe определил как Win32.Banker. Даже в блокноте CPSecure c virusscan нашел Troj.W32.DNSChanger.hd. :-D
Отправлял оба файла в вирлабы каспера и веба - чистые. Ложное срабатывание esafe и CPSecure?)[SIZE=5][SIZE=2][/SIZE][/SIZE][SIZE=3][SIZE=1][/SIZE][/SIZE]

Уважаемый(ая) [B]ifstream[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

лог mbam прикрепил)

с avz траблы: скрипт выполняет,но архив пустой. Из лога:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\uphcleanhlp.sys)
Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
Карантин с использованием прямого чтения - ошибка

+ Функция NtUnloadKey (107) перехвачена (806559A2->A227575C), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys

упс :-D восстановление системы надо было выключать?

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] найденное, смените пароли.

удалил)

это следы от винлока?

userinit,taskmgr,taskman чистые?

нет, это следы от банковского троянца ...
в остальном чисто. Удалите MBAM.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

спасибо 8)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Что насчет ошибок с карантином файлов (avz)?

ничего, всё в порядке )))

спасибо 8 )