Подозрение на Trojan.Win32.Agent2.loa и winlock

Здравствуйте. Сегодня, поймал трояна, возможно не одного - открыв в браузере картинку. Eset Smart Security ругался на 7-8 вредоносных файлов.
Один из пробивших его защиту оказался из семейства Trojan-Ransom.Win32.Blocker. Картинка с номером и требованием отправить 400 рублей на номер Билайна. В базе веба и касперского данный номер не значится (возможно, слишком новый). На любые нажатия кнопок не реагирует, только для ввода пароля.
Пришлось грузиться с Alkid live cd - это могло повлиять на отчёты АВЗ и hijack, они могли сканировать не ту ОСь.
На моём компьютере есть диски C (системный) и D (файлы и проч.), E - привод оптических дисков.
Алкид создал диски B (похоже, виртуальный) и X (что это - не знаю, написано WinPE).
АВЗ ругался на файл ATIODCLI.exe, webcureit просканировать не удалось, система висла на сканировании процесса system.

Логи с Live CD бесполезны.

1.скачайте [B]Live CD[/B] с возможностью поиска и исправления в реестре. Например, [B]ERD Commander[/B].
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - [B]erdregedit[/B]
4.Посмотрите в реестре:
[B]ветка[/B]

[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]

[B]параметр[/B]

[CODE]userinit[/CODE]

[B]параметр[/B]

[CODE]shell[/CODE]

а также

[B]ветка[/B]

[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]

[B]параметр[/B]

[CODE]AppInit_DLLs[/CODE]

Содержимое этих параметров напишите в своем сообщении

[url]http://virusinfo.info/showthread.php?t=91167[/url] у меня тот же баннер, что и в той теме. winlock папка есть. но winstart.bat нету.

В логах этого нет, я не буду бить наугад. Есть возможность сделать логи в нормальном режиме в системе?

Попытаюсь подождать 10 минут, как там. Может что и получится.

Вот просканировал. Eset smart security, веб и АВЗ на этот wlock молчат.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\Adm\LOCALS~1\Temp\krdpdre.sys','');
QuarantineFile('C:\Documents and Settings\Adm\wlock\wlock.exe','');
DeleteFile('C:\Documents and Settings\Adm\wlock\wlock.exe');
DeleteFileMask('C:\Documents and Settings\Adm\wlock','*.*',true);
DeleteDirectory('C:\Documents and Settings\Adm\wlock');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи

Карантин прислал, вроде тот что нужен. А это логи.

Файл hosts сами правили?

с одного сайта скачал ([url]http://super-m.narod.ru/misc/noadv.htm[/url]). Рекламу и баннеры режет.

Что с проблемой?

больше не наблюдается. Собираюсь просканировать систему Eset smart security.

Просканировал Esetом - ничего нет. Ещё просканировал Вебом - сегодня он этот винлок нашёл в корзине, запакованный в карантин. Очевидно, за прошедшее с 21:00 вчера до 13:00 сегодня время (когда я скачивал вебcureit) он попал в базу, и извесен теперь как Trojan.Winlock2482. Больше вроде ничего нет. Но подожду, когда веб досканирует диск D.

На диске D тоже ничего нет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]