Букет проблем

Добрый день! Попросили посмотреть копм. с букетом вирусов и проблем.
1.Не грузится в безопасном режиме
2.При загрузке в обычном режиме не загружается explorer.
3.При нажатии Ctrl+Alt+Del говорит, что нет прав администратора. Пришлось загрузиться с LiveCD Vista и создать нового пользователя с правами админа, тогда через диспетчер можно загрузить explorer
4.Но даже после выполнения п.3 не запускается CureIt

Единственное, что сделал так это просканировал на другом компе винт DrWeb_ом и выполнил Ваши рекомендации.

классный зоопарк :) вот что значит под админом погулять ;)

Пофиксить в hijackthis
[code]F2 - REG:system.ini: Shell=C:\WINDOWS\Explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Help - {CADB5E0F-0223-A58F-D6EF-326223BC90CA} - C:\WINDOWS\system\hnqtse32.dll (file missing)
O2 - BHO: WRL Advisor - {D08B4B63-1A30-4D54-AAAA-F1DF3A8CFF42} - C:\WINDOWS\qnmargolwlp.dll
O2 - BHO: 382077 helper - {F0A035EC-C865-4E47-BF73-B17741DD5232} - (no file)[/code]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\iframestat.exe','');
QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
DelBHO('{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}');
DelBHO('{F0A035EC-C865-4E47-BF73-B17741DD5232}');
DelBHO('{D08B4B63-1A30-4D54-AAAA-F1DF3A8CFF42}');
DelBHO('{CADB5E0F-0223-A58F-D6EF-326223BC90CA}');
QuarantineFile('C:\WINDOWS\system\hnqtse32.dll','');
QuarantineFile('C:\WINDOWS\system32\WLXqyp.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\wdpoefan.dll','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\vydwpgvo.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('C:\WINDOWS\Resources\KernelCD.dll','');
QuarantineFile('C:\Program Files\antiviirus.exe','');
QuarantineFile('C:\Documents and Settings\lvmz\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ldg18.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys','');
QuarantineFile('C:\WINDOWS\TEMP\cmds.exe','');
QuarantineFile('c:\windows\system32\msupd32.sys','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\TEMP\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lemsgt.sys','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\vadokmxt.dll','');
QuarantineFile('C:\WINDOWS\system32\WLXqyp.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\hmbgdezc\bytmvqlg.exe','');
QuarantineFile('c:\autoex.dll','');
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\hmbgdezc\bytmvqlg.exe');
DeleteFile('C:\WINDOWS\system32\WLXqyp.dll');
DeleteFile('C:\WINDOWS\vadokmxt.dll');
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('C:\WINDOWS\TEMP\svchost.exe');
DeleteFile('C:\Documents and Settings\Пользователь\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe');
DeleteFile('c:\windows\system32\msupd32.sys');
DeleteFile('C:\WINDOWS\TEMP\cmds.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ldg18.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\lvmz\cftmon.exe');
DeleteFile('C:\Program Files\antiviirus.exe');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\vydwpgvo.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\wdpoefan.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WLXqyp.dll');
DeleteFile('C:\WINDOWS\system\hnqtse32.dll');
DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
DeleteFile('C:\WINDOWS\Temp\iframestat.exe');
BC_DeleteSvc('Ldg18');
BC_DeleteSvc('kbd');
BC_DeleteSvc('RasMan');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('mnmsrvc');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('dmserverRSVP');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22130[/url]
новые логи сделать.

Начал запускаться CureIt, прогресс на лицо:)

выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe','');
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe','');
QuarantineFile('C:\WINDOWS\system32\382077\382077.dll','');
QuarantineFile('C:\WINDOWS\system32\cisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\WINDOWS\system32\sam.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('WLXqyp.dll');
DeleteFile('C:\WINDOWS\system32\sam.exe.exe');
DeleteFile('C:\WINDOWS\system32\382077\382077.dll');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe');
DeleteFile('C:\System Volume Information\_restore{B6986FDD-853D-429E-8014-E5E06AFEC086}\RP235\A0057871.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Сделал.

выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cisvc.exe','');
BC_DeleteSvc('MSDTC');
DeleteFile('C:\WINDOWS\system32\msdtc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришллите карантин согласно приложения 3 правил ...
Userinit.exe наверно стоит заменить на чистый из дистрибутива ...

Скрипт выполнил. Файл заменил. Карантин пуст.
Комп перегрузил, explorer теперь загружается сам. Я так понял - это победа :)?

Повторите логи начиная с п10 правил

Сделал

Пофиксите в HijackThis:
[code]
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Пользователь\Local Settings\Application Data\sec3.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [WintelUpdate] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\7917.tmp.exe
O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WLXqyp - C:\WINDOWS\
O21 - SSODL: KernelCD - {0abb19fe-b7a5-47f6-b69e-b657e0a9b6ba} - C:\WINDOWS\Resources\KernelCD.dll (file missing)
[/code]
Перезагрузите компьютер и повторите два последних лога.

Ok

в логах ничего зловредного ...

drongo, V_Bond, Гриша, Bratez Спасибо Вам большое! Впечатлен Вашим профессионализмом!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\hmbgdezc\\bytmvqlg.exe - [B]Trojan-Downloader.Win32.Agent.nte[/B] (DrWEB: Trojan.Siggen.22)[*] c:\\documents and settings\\localservice\\cftmon.exe - [B]Worm.Win32.Socks.fa[/B] (DrWEB: Trojan.Coresun)[*] c:\\documents and settings\\lvmz\\cftmon.exe - [B]Worm.Win32.Socks.fa[/B] (DrWEB: Trojan.Coresun)[*] c:\\system volume information\\_restore{b6986fdd-853d-429e-8014-e5e06afec086}\\rp235\\a0057866.exe - [B]Trojan-Downloader.Win32.Tibs.yz[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\system volume information\\_restore{b6986fdd-853d-429e-8014-e5e06afec086}\\rp235\\a0057871.sys - [B]Trojan.Win32.Inject.adt[/B] (DrWEB: Trojan.Inject.795)[*] c:\\windows\\system32\\dllgh8jkd1q6.exe - [B]Email-Worm.Win32.Zhelatin.xs[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\dllgh8jkd1q7.exe - [B]Email-Worm.Win32.Zhelatin.xs[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\drivers\\qandr.sys - [B]Rootkit.Win32.Qandr.r[/B] (DrWEB: Trojan.NtRootKit.1057)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.fa[/B] (DrWEB: Trojan.Coresun)[*] c:\\windows\\system32\\mnmsrvc.exe - [B]Trojan-Downloader.Win32.Small.uyc[/B] (DrWEB: Trojan.DownLoader.59514)[*] c:\\windows\\system32\\msdtc.exe - [B]Trojan-Downloader.Win32.Small.uyc[/B] (DrWEB: Trojan.DownLoader.59514)[*] c:\\windows\\system32\\vydwpgvo.exe - [B]Trojan-Downloader.Win32.Obfuscated.vd[/B] (DrWEB: Trojan.Siggen.23)[*] c:\\windows\\system32\\wlxqyp.dll - [B]Trojan-Downloader.Win32.Injecter.on[/B] (DrWEB: Trojan.Inject.3286)[*] c:\\windows\\system32\\382077\\382077.dll - [B]not-a-virus:AdWare.Win32.E404.ag[/B] (DrWEB: Adware.404Search.5)[*] c:\\windows\\temp\\iframestat.exe - [B]Trojan-Downloader.Win32.Tibs.yn[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\vadokmxt.dll - [B]Trojan.Win32.Vapsup.ejt[/B] (DrWEB: Trojan.DownLoader.59523)[/LIST][/LIST]