Ноутбук acer5623 был атакован...

На ноутбуке Acer5623 был выполнен вредоносный код, который привел к следующему:
1. KIS2009,HiJackThis,AVZ,IceSword перестали быть "приложением win32"
2. Попытка загрузки в безопасный режим = синий экран смерти
3. Запуск CureIt c флешки или копирование этого дистриба через Bluetooth привел к удалению всех драйверов USB и Bluetooth, в том числе и мыши (хорошо хоть тачпад спас)
4. При перезагрузке ноута автоматически стартует браузер по умолчанию и с частотой 0.5Гц начинает грузить страницы. Это решилось позже с помощью удаления некоего процесса с именем SiteVacuumClient.exe
Запароленный архив со зловредом могу предоставить при необходимости.

Что сделано для лечения:
1. Система проверена диском резервного копирования KIS2009, найдено 18 зловредов и несколько троянских программ. Все удалены.
2. При перезагрузке опять все появилось заново пока я снова не загрузился с диска резерв копирования и удалил этот SiteVacuumClient.exe
3. KIS2009 пришлось переустановить, а все прочие EXE файлы спец утилит начали нормально запускаться только после того, как были заново разархивированы из архивов.
4. KIS2009 проверил систему в режиме "полной проверки" и ничего не нашел.

Что тревожит:
1. Ноут загружается очень долго, более 3 минут, во время загрузки судя по индикатору работы диска заметны паузы до 30 сек
2. KIS2009 загружается последним и до тех пор все сетевые программы ждут
3. Надпись "Protected by Kaspersky Lab" на экране приветствия не отображается, только при завершении работы.
4. Запуск всех программ стал долгим, вообще реакция системы на средства ввода стала заметно более долгой.

Прошу специалистов посмотреть логи.
Лог virusinfo_cure.zip имеет размер 42Мб - куда его выложить?

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)

[/CODE]

Перед запуском скрипта выгрузите ваш антивирус, отключитесь от сети.

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\Program Files\recfree\tbrecf.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Wbutton.sys','');
QuarantineFile('C:\Documents and Settings\Vladi\Application Data\drivers\wfsintwq.sys','');
QuarantineFile('C:\Documents and Settings\Vladi\Application Data\drivers\srosa2.sys','');
DeleteFile('C:\Documents and Settings\Vladi\Application Data\drivers\srosa2.sys');
DeleteFile('C:\Documents and Settings\Vladi\Application Data\drivers\wfsintwq.sys');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportDeletedList;
BC_DeleteSvc('srosa');
BC_DeleteSvc('sK9Ou0s');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=43967"]http://virusinfo.info/upload_virus.php?tid=43967[/URL].
Выгрузите ваш антивирус и повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

SiteVacuumClient.exe заархивируйте с паролем virus и пришлите по ссылке, которую я дал.

Проделано:
1. Пофиксил указанное в HijackThis
2. Выполнил указанный скрипт (без ошибок)
3. Выгрузил KIS2009
4. Повторил логи. Лог virusinfo_cure.zip имеет размер чуть более лимита
5. Высылаю карантин. SiteVacuumClient.exe к сожалению удалил сразу, выслать не могу... Но он появился после запуска исходного зловреда, последнего заархивировал сразу с паролем newvirus, сейчас переделывать побоялся....

Правильно ли выполнены рекомендации или что-то сделано не корректно?

install_patch.exe_ - Trojan-Downloader.Win32.Bagle.aqy
Детектирование файла будет добавлено в следующее обновление.

Сейчас проблемы наблюдаются?
Обновите базы Каспера и сделайте им полную проверку.

Базы обновил, проверку сделал. Вирусов нет. Все чисто.
Но такая долгая загрузка системы меня не устраивает, ноут еще и греется сильно, вентиляторы раньше так активно не работали при нулевой нагрузке...
Пробовал использовать Bootvis в режиме оптимизации загрузки, ноут простоял несколько часов с окном "optimazing...", винт при этом активно работал... Пришлось остановить эту "оптимизацию" перезагрузкой.
Когда система загружается очень много пауз, поддержка сети и каспер грузятся последними, что раньше не наблюдалось.
Вообщем, что-то не так...

Произвел переустановку WinXP SP3 в режиме обновления. Проблемы с загрузкой исчезли, теперь компоненты загружаются правильно и быстро. Но на последнем этапе установки ноут завис (когда на экране эмблема Windows c надписью под ней "Пожалуйста, подождите"). Вообщем, единственное оптимальное решение, наверное, как всегда - чистая переустановка WinXP...

Можно было почистить систему от мусора. Очень хорошо помогает [URL="http://download.piriform.com/ccsetup218.exe"]ccleaner[/URL]

Ccleaner оказалась очень неплохой программой - почистил хорошо. Но дело в том, что после удаления вируса и продуктов его жизнедеятельности не всегда возможно восстановить систему на 100%. В моем случае зловред отключил некоторые службы WinXP, связанные с безопасностью (я это случайно заметил) - думаю именно это и нарушило "нормальность" загрузки системы. Вопрос на будущее - как можно вернуть дефолтные настройки служб без переустановки WinXP? Снова использовать сторонние программы или в системе есть другие возможности?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]