Internet Security

Умудрился подхватить эту гадость.
После ввода кода, найденного в Сети, все видимые проявления вируса пропали (окно перестало появляться, все программы и службы, которые не запускались ранее, стали запускаться). Но так как честности вирусописателей я не доверяю, решил проверяться дальше.

DrWeb запущенный из безопасного режима не нашел ничего. (Впрочем, он же, запущенный с загрузочного диска, не нашел ничего даже до ввода кода).
AVP с загрузочного диска (уже после ввода кода) нашел две вирусные dll в windows/system32 и один hlp-файл в windows/help. Все инфицировано Packed.Win32.Krap.W. Во всех случаях сказал, что файлы неизлечимы. dll-ки на всякий случай я переименовал и переместил в другое место.

Выполнил указанные в правилах скрипты, прикладываю к сообщению.
Заранее спасибо за помощь.

Сделайте лог MBAM

Прикладываю лог MBAM.

Удалите в MBAM:
[QUOTE]Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
[/QUOTE]
Выполните скрипт
[CODE]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
QuarantineFile('C:\WINDOWS\system32\UnlockerHook.dll','');
QuarantineFile('D:\Install\XP\Key\Для Sp1\update_xp_cd_key.exe','');
QuarantineFile('D:\Install\TotalCopy\totalcopy.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.

Первый пункт выполнил.

Оба exe-файла с диска D я удалил еще до получения Вашего ответа, поскольку посчитал, что мне эти программы сейчас в любом случае не нужны, независимо от того вирус это или не вирус.

А вот со скриптом возникла проблема. Он упорно выдает ошибку. Последние строчки его лога:

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]

При этом после попытки выполнения скрипта на компьютере начало твориться что-то странное. Когда я перезагрузился и воткнул обратно сетевой провод, я обнаружил, что Сеть пропала. В Сетевых подключениях появилось непонятное "1394-подключение", которого раньше не было. Удалить его нельзя. После еще одной перезагрузки, впрочем, Сеть появилась, но это подключение в списке все равно висит.

Еще переназначилась программа обработчик текстовых файлов. У меня был назначен Aditor, но при попытке открыть текстовый файл, видимого эффекта не было, а в ProcessExplorer'e замигала чехарда из появляющихся и удаляющихся процессов, которая никак не хотела прекращаться и которую я предпочел прервать очередной перезагрузкой.

Еще раз запустил MBAM, он по прежнему дает лишь Unlocker.exe и UnlockerHook.dll.

[QUOTE='Alaric;563110'] В Сетевых подключениях появилось непонятное "1394-подключение", которого раньше не было. Удалить его нельзя. После еще одной перезагрузки, впрочем, Сеть появилась, но это подключение в списке все равно висит.[/QUOTE]
[URL="http://support.microsoft.com/kb/307736/ru"]http://support.microsoft.com/kb/307736/ru[/URL]
Сделайте новый лог virusinfo_syscheck.zip и лог Gmer

Выкладываю логи.
Правда, с логом gmer вышла некоторая загвоздка. Дело в том, что когда программа закончила проверять все файлы на С:, я нажал на Save и вся система повисла. При этом (я предварительно прокрутил список до конца) файлов в списке результатов не было.
После этого я попробовал сделать проверку, отключив галку файлов (файлы проверялись около трех часов, а я не был уверен, что все опять не зависнет), и получил тот лог, который сейчас приложен.
Попытаться проверить еще раз?

Удалите бесполезное--TuneUp Utilities
Кое что поправим, выполните скрипт
[CODE]begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/CODE]
Рекомендую обновить, иначе могут быть проблемы Windows Service Pack 2 до Windows Service Pack 3, возможно потребуется активация. + установить последние обновления на ОС.
В логе чисто, что с проблемой?

TuneUp Utilities удалил, скрипт выполнил.

Проблем видимых не наблюдается, правда, когда я эту тему создавал, их тоже не наблюдалось, просто я не мог разобраться с тем, полностью я удалил вирус или нет.

То, что MBAM по прежнему находит Unlocker.exe и UnlockerHook.dll следует считать ложным срабатыванием?

Я, правда, его еще раз запустил и помимо этих двух файлов он еще заявил, что опять появился зараженный ключ (который я ранее удалял):
HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace)

[QUOTE='Alaric;563591']То, что MBAM по прежнему находит Unlocker.exe и UnlockerHook.dll следует считать ложным срабатыванием?[/QUOTE]
Вы не закачали карантин, а зря, надо бы проверить эти файлы.

[QUOTE='Alaric;563591']Я, правда, его еще раз запустил и помимо этих двух файлов он еще заявил, что опять появился зараженный ключ (который я ранее удалял):
HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) [/QUOTE]

[QUOTE='shapel;563571']Рекомендую обновить, иначе могут быть проблемы Windows Service Pack 2 до Windows Service Pack 3, возможно потребуется активация. + установить последние обновления на ОС.[/QUOTE]
Если этого не сделать, Ваш ПК будет находиться под постоянной угрозой заражения.

SP3 и апдейты установил.

[QUOTE='shapel;564017']Вы не закачали карантин, а зря, надо бы проверить эти файлы.[/QUOTE]
Как я уже писал выше, Ваш скрипт выдавал ошибку, поэтому я не мог получить эти самые файлы, чтобы их закачать.

После обновления до SP3 запускать скрипт не пробовал. Хотелось бы уточнить, его следует запустить в том же виде?

Сделайте лог virusinfo_syscheck.zip

Прикладываю лог.

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
QuarantineFile('C:\WINDOWS\system32\UnlockerHook.dll','');
DeleteFilemask('C:\Program Files\TuneUp Utilities 2004','*.*',true);
DeleteDirectory('C:\Program Files\TuneUp Utilities 2004');
DeleteFile('C:\WINDOWS\Tasks\1-Click Maintenance.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.

Не получается выполнить первый скрипт.
Выдается ошибка с надписью: "Failed to set data for 'DisplayName'" (то же самое, что и в прошлый раз).

Пробуйте еще раз выполнить скрипт.

Скрипты выполнились, полученный архив закачал.

Файлы в карантине чистые, что с проблемой?

Проблем не наблюдается.
Большое спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]