internet security

Здравствуйте.
Поймали в оффисе двух зверей. Одного удалось победить проверкой нодом при загрузке с диска Win PE. Базы обновлял до 2010.01.20 а вот второй зараза сидит и улыбается. Прошу помочь в борьбе с вымогателем.

При нормальной загрузке: При входе в папки 2 уровня выпадает експлорер. Запуск любого ехе иниицирует вирус. Ребут и выключение только с кнопок.

Загрузка в безопасном. То же. но есть около 30 сек для запуска исп файлов. Свежий Cureit пытается завестись но сразу говорит что вирь есть, смотри лог. При запусках AVZ и HijackThis пытается выключиться но встает на сохранении параметров. Полиморфный AVZ результат тот же.

Загрузка с Win PE ver 22/10/09 Нод с базами 2010.01.20 ничего не находит.
AVZ работает, логи прилагаю. HijackThis при даблклике перегружается експлорер. Переименованый дважды дает ошибку (uedit32.exe ошибка приложения 0xc0000006 приложение будет закрыто) лог прилагаю.

1. Просканируйтесь с помощью LiveCD, сделайте логи если запустится avz, если нет
2. Попробуйте в биосе изменить дату на месяц назад или вперед и сделать логи.
Логи из под livecd бесполезны.

Сканирование с LiveCD результата не принесло. изменение даты +/- месяц, год результата не дало.

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

Какимто чудным образом AVZ Запустился. Нашел гада. Запихал его в карантин. Пока еще сканит. По готовности выложу логи.

[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]

После сканирования AVZ и перезагрузки все вернулось на круги своя. при запуске AVZ и полиморфа уходит в ребут. при запуске HijackThis и полиморфа пишет сбой в DLL Лог получился только 1

лог

c:\windows.0\system32\dllcache\mw770.cat:exaSnrGYA9hVePOcm5+7:$DATA - c LiveCD
убить.

Убил. Загрузился относительно нормально. Логи.

выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\mssrv32.exe','');
QuarantineFile('c:\windows.0\system32\svchost.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин на проверку.

А/вирус работает?

Карантин выслал А/Вирус не работает. Утверждает что не разрешает политика ограничения применения програмного обеспечения. Не работает служба восстановления системы. Запрет на редактирование реестра и дисперчер задач поправил твикером.

в реестре вот в этом ключе упоминание о Касперском удалите.
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths[/CODE]
выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS.0\system32\mssrv32.exe');
BC_ImportAll;
executesysclean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Прислать лог.

Каспер и восстановление заработали.. Лог проверки прилагаю.

выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\microsoft_sr\services.exe','');
DeleteFile('C:\RECYCLER\microsoft_sr\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить лог еще разок

Похоже что теперь все в порядке. ( по крайней мере на мой не самый просвященный взгляд ;) ) Благодарю вас за помощь. И Спасибо за ваш не самый легкий труд. Лог в комплекте.

Карантин прислали второй?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows.0\system32\mssrv32.exe - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.cq0@aCOk21cc, AVAST4: Win32:Bredolab-BR [Trj] )[/LIST][/LIST]