Помогите!! Трояны LockScreen + Internet security + что то еще

Printable View

25.01.2010, 18:00
AARus

Вложений: 2

Помогите!! Трояны LockScreen + Internet security + что то еще

Здравствуйте! Помогите пожалуйста избавиться от вирусов и их последствий. У меня ноутбук ASUS A7J c Win XP Pro 32b.

Сейчас опишу, что у меня было:

ЧЕТВЕРГ
Появился порнобаннер с требованием выкупа по смс. Долго думал, потом поставил Process Explorer, нашел его и грохнул(из запуска, с диска и запись в реестре стер одну). Вроде нормально все стало, НО - перезагрузившись первый раз у меня в FireFox 3.5.7. поехало изображение элементов некоторых сайтов, однако Опера и IE отображали нормально. Переустановил Firefox(при это бэкапил и восстанавливал профиль при помощи MozBackUp), далее перезагрузился и не смог войти в систему - писал "загрузка личных параметров", а потом сразу "завершение сеанса". Ладно - подгрузился как в интернете нашел с LiveCD, заменил userinit на рабочий и прописал соответственно в реестре. Вроде как заработало... Увел машину в спящий режим...

З.Ы. файлы переносил с рабочей машины с помощью флешки

ПЯТНИЦА
Разбудил компьютер и проверил всеми мыслемыми и не мыслемыми средствами, из них CureIt ничего не нашел, через интернет проверка что то нашла и поудаляла. Firefox так же косячил с изображением, Опера и IE вообще отказались загружать страницы. Перезагрузился, и - не смог соединится с интернетом... вообще никак. Проверка на вирусы Web'ом ничего не дала Потом наступили выходные...

ВЫХОДНЫЕ
Был не дома и интернета не было. Забэкапил все нужное на второй(логический) диск, форматнул диск С и поставил винду заного -все нормально функционировало оба дня.

ВОСКРЕСЕНЬЕ ВЕЧЕР
Приехал домой и подключился к интернету. Начал восстанавливать программы(Ну там Опен Офис, Адоб Ридер, FireFox, почту)... и через полчаса у меня вылезает Internet Security с просьбой заплатить ему денег чтоб 132 файла вылечить, причем блокировал все - и восстановление и ком строку и запуск всего что можно, включая Process Explorer и антивирусы, а когда я открыл папку с AVZ - вообще удалил его исполняемый файл и перезагрузился. Злой он.
Чего сделал - загрузился с LiveCD и почистил все Temp папки и еще что то, что показалось странным. Загрузился в нормальном режиме -его нету, и слава богу - лег спать...

ПОНЕДЕЛЬНИК
Включился - взял у брата программу Троян Ремувер от Касперского и проверелся -нашел кучу всего - черви, трояны и, даже какой то троян даунлоадер, почистил. Думал все - ага, конечно, после перезагрузке вылез опять, причем его появление сначала сопровождается отключение режимов смены раскладки клавиатуры. Опять почистился также и даже 2 раза перезагрузился, пока не вылазит, НО при запуске Firefox пишет что он уже запущен, хотя я его не запускал и в запущенных он не висит. Вот сейчас сделал логи и прикладываю их(virusinfo_cure.zip тоже есть, его не вкладываю пока), сижу боюсь перезагрузиться...

Помогите пожалуйста - нервы уже на пределе... Спасибо заранее!!!:)
25.01.2010, 19:23
gjf

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]Procedure DelAppInit_DLLsByFileName(Name : string);
var
AppInit_DLLs: string;
i, j, c, s: integer;
endSearch, found: boolean;
begin
if Name = '' then
exit;
AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
endSearch := false;
while not endSearch do
begin
found := false;
for i := 1 to length(AppInit_DLLs) do
begin
s := 0;
c := i;
for j := 1 to length(Name) do
if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
begin
s := s + 1;
if s = length(Name) then
begin
if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0))
or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
begin
found := true;
Delete(AppInit_DLLs, i, length(Name));
end;
end;
c := c + 1;
end
else
break;
if found then
break;
end;
if not found then
endSearch := true;
end;
i := 1;
while i < length(AppInit_DLLs) do
begin
if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
begin
Delete(AppInit_DLLs, i, 1);
i := i - 1;
end;
i := i + 1;
end;
if copy(AppInit_DLLs, 1, 1) = ',' then
Delete(AppInit_DLLs, 1, 1);
if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
AppInit_DLLs := Trim(AppInit_DLLs);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\l.dll','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\l.dll');
DelAppInit_DLLsByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\l.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16); {восстановление ключа запуска explorer}
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
- Сделайте повторные логи согласно только пункта 2 [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscheck.zip[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
25.01.2010, 19:55
AARus

Спасибо большое за отклик!!

Сделал все как написали, карантин залил, а с этим письмом прикладываю новый лог. Единственное что, когда лез очищать в Firefox'е, он у меня не открылся, опять сказав, что "Firefox уже запущен"... а когда полез удалять вручную - там уже ничего не было, но точно помню, что было и я это еще с утра удалил.

Firefox я так понимаю придется переустанавливать?
И еще - в AVZ с карантинными файлами еще что нибудь делать надо? всмысле удалить или оставить?
25.01.2010, 20:46
V_Bond

в логе ничего плохого ... карантин авз можно удалить ...
26.01.2010, 20:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]