Зоопарк :)

Наткнулся тут на компьютер-зоопарк. Целая куча всего.
После Syscure снес старого касперского с компа.
Потом удалил все из d:\winnt\temp, пофиксил HiJackThis'ом кучу барахла. Еще наткнулся на файлики с именем из цифр в профиле пользователя, которые AVZ даже как подозрительные не нашел, тем не менее судя по Virustotal:
AhnLab-V3 - - -
AntiVir - - TR/Dldr.Small.afg.2
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Trojan.PWS.LDPinch.TDF
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Trojan.Packed.194
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Trojan-PWS.LDPinch.TDF
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Generic Trojan
Prevx1 - - Malware.Gen
Rising - - -
Sophos - - Mal/Dropper-T
Sunbelt - - -
Symantec - - Downloader
TheHacker - - -
VBA32 - - suspected of Trojan-PSW.Pinch.90 (paranoid heuristics)
VirusBuster - - -
Webwasher-Gateway - - Trojan.Dldr.Small.afg.2

Сейчас собираю карантин, чтобы разослать, перезагружусь и сделаю повторные логи.

Забыл изначальные логи, прикладываю.

Богато! :(
Будем лечить, возможно частями. Надо было выполнять п.2 Правил (проверку Cure-It)
Касперский, скорее всего, устарел, либо без обновленных баз.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=NStorm;156395]Забыл изначальные логи, прикладываю.[/QUOTE]
r_Admin, winVnc - не много ли средств удаленного доступа?
Фиксим:
[CODE]
F2 - REG:system.ini: UserInit=D:\WINNT\system32\userinit.exe,D:\WINNT\system32\ldr.exe
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - HKCU\..\Run: [Explorer] D:\WINNT\System32\shellexp.exe en
O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
O20 - Winlogon Notify: csfdll - D:\WINNT\Media\smartwarxyu.dll
O20 - Winlogon Notify: igfxcui - D:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: msviiedk - D:\WINNT\system32\msviiedk.dll
[/CODE]

Выполнить скрипт:
[CODE]begin
DeleteFile('D:\WINNT\system32\k53lock.sys');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('D:\WINNT\system32\drivers\ntosnh.sys');
BC_DeleteFile('D:\WINNT\system32\k53lock.sys');
BC_DeleteFile('D:\WINNT\Downloaded Program Files\UERS_0001_N68M1801NetInstaller.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После этого второй скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('bt848rom.dll','');
QuarantineFile('D:\WINNT\system32\msviiedk.dll','');
QuarantineFile('D:\WINNT\system32\ldr.exe','');
QuarantineFile('D:\WINNT\system32\imagicfg.dll','');
QuarantineFile('D:\WINNT\System32\shellexp.exe','');
QuarantineFile('D:\WINNT\Media\smartwarxyu.dll','');
QuarantineFile('C:\Program Files\Win\Default\lexplorer.exe','');
DeleteFile('D:\WINNT\Media\smartwarxyu.dll');
BC_DeleteFile('D:\WINNT\Media\smartwarxyu.dll');
DeleteFile('D:\WINNT\System32\shellexp.exe');
BC_DeleteFile('D:\WINNT\System32\shellexp.exe');
DeleteFile('D:\WINNT\system32\imagicfg.dll');
BC_DeleteFile('D:\WINNT\system32\imagicfg.dll');
DeleteFile('D:\WINNT\system32\ldr.exe');
BC_DeleteFile('D:\WINNT\system32\ldr.exe');
DeleteFile('D:\WINNT\system32\msviiedk.dll');
BC_DeleteFile('D:\WINNT\system32\msviiedk.dll');
DeleteFile('bt848rom.dll');
BC_DeleteFile('bt848rom.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить весь карантин через ссылку вверху темы.
Сделать новые логи.

D:\WINNT\Downloaded Program Files\UERS_0001_N68M1801NetInstaller.exe >>>>> Downloader.Win32.WinFixer.d удаление запрещено настройкой
еще это удаляю тогда.

Я добавил файлик в скрипт. Можно его кстати делать в защищ. режиме.
Будет понадежнее.

ntosnh.sys зараза никак не удаляется, попробую в защищ. режиме сейчас.

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

Пофигачил ntosnh.sys и что-то машинка не хочет грузится, сейчас отключу авто-перезагрузку и посмотрю на что ругается.
Вот еще, по поводу тех exe что были в корне профиля, от KAV получил:

52046.dat - Trojan.Win32.Inject.mp
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

[QUOTE]Загрузить весь карантин через ссылку вверху темы.[/QUOTE]
Жаль... что добром не желаете поделиться... :-(

Поделюсь, для начала долечу только.

Эх, что-то не хочет никак удаляться...
Вот логи + карантин что был (071204_061136_virus_475543f837625.zip). В Infected больше, там в основном разновидности adware'и что были, их ненадо?

Вот еще новенький что был:
Файл сохранён как 071204_061553_52046_475544f90128a.zip
Размер файла 9546
MD5 a755dbc59e5f106f12d14d92eaf7f20d

Профиксить:
O20 - Winlogon Notify: msviiedk - D:\WINNT\

Надо сделать лог:[url]http://virusinfo.info/showthread.php?t=10387[/url] в защищ. режиме.

Зверек какой-то неубиваемый попался, или кто-то/что-то его восстанавливает.

Невнимательно я что-то к логам HiJackThis'a отнесся, сейчас пофиксил мусор оттуда, и из скрипта бутклинером удалил скопом все, на что ругался AVZ. Вроде сейчас чисто. Готовлю логи.

Вот этот скриптик еще выполните:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINNT\Downloaded Program Files\UERS_0001_N68M1801NetInstaller.exe');
DeleteFile('D:\WINNT\system32\drivers\ntosnh.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

AVZ теперь вылетает на исследовании системы.

Сделай лог, который я просил.

Сделал. Полагаю это: D:\WINNT\system32\drivers\ntoss.sys ?

Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINNT\system32\drivers\ntoss.sys','');
DeleteFile('D:\WINNT\system32\drivers\ntoss.sys');
BC_ImportDeletedList;
BC_DeleteSvc('ntoss.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите по правилам.
Повторите последний лог.

Как и ожидалось, сидит гад. :(

Присылай его одного.

Вылетания AVZ продолжаются, в карантине было пусто... сейчас опять в безопастном режиме лог сделаю...

1 вылетает только AVZ с другими программами нет проблем ?
2 вы антихакера отключаете ?