HmBlocker, Iframe, Winlock, Agent, ..... веело, весело встретил новый год

Сосед, любитель злачных мест. Искал приятность, а получил Winlockera

Травил Касперским

[CODE]10.01.2011 22:09:42 Задача запущена
10.01.2011 22:10:11 Обнаружено: Trojan-Ransom.Win32.HmBlocker.aca C:\Documents and Settings\User\2417410006\2417410006.exe
10.01.2011 22:23:35 Задача остановлена
10.01.2011 22:26:06 Задача запущена
10.01.2011 22:26:45 Обнаружено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temp\updates.exe
10.01.2011 22:27:47 Обнаружено: Trojan-Dropper.Win32.Agent.dswb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\dm8[1].php
10.01.2011 22:27:54 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\show[1].htm
10.01.2011 22:47:31 Удалено: Trojan-Dropper.Win32.Agent.dswb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\dm8[1].php
10.01.2011 22:47:32 Удалено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temp\updates.exe
10.01.2011 22:47:34 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2FWRETCV\show[1].htm
10.01.2011 22:48:21 Обнаружено: Trojan-Dropper.Win32.Agent.dncn C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\ADCJ618T\forum[1]
10.01.2011 22:48:31 Удалено: Trojan-Dropper.Win32.Agent.dncn C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\ADCJ618T\forum[1]
10.01.2011 22:48:49 Обнаружено: Trojan.JS.Iframe.rb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\EVPC7O8F\fol[2].js
10.01.2011 22:48:49 Удалено: Trojan.JS.Iframe.rb C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\EVPC7O8F\fol[2].js
10.01.2011 22:49:48 Обнаружено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\KXUJ85UN\UL6bhyg9ZajIPsj0b1S9IP9gXoF6Gher[1]
10.01.2011 22:49:53 Удалено: Trojan-Dropper.Win32.Agent.dlbq C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\KXUJ85UN\UL6bhyg9ZajIPsj0b1S9IP9gXoF6Gher[1]
10.01.2011 22:50:21 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\1246[1].pdf/data0000
10.01.2011 22:50:31 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].php/ytkmyucm9[1]/JIM
10.01.2011 22:50:31 Обнаружено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].htm/JIM
10.01.2011 23:12:41 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].htm
10.01.2011 23:12:42 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\1246[1].pdf
10.01.2011 23:12:43 Удалено: HEUR:Exploit.Script.Generic C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\STI3Q7GX\ytkmyucm9[1].php
10.01.2011 23:13:20 Обнаружено: Trojan-Ransom.Win32.HmBlocker.acc C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\UQMHDD86\xpiofrbtkzhr[1].exe/UPX
10.01.2011 23:13:24 Удалено: Trojan-Ransom.Win32.HmBlocker.acc C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\UQMHDD86\xpiofrbtkzhr[1].exe
10.01.2011 23:13:33 Обнаружено: Trojan.JS.Redirector.os C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\W3QTUX67\rule[1].htm
10.01.2011 23:13:34 Удалено: Trojan.JS.Redirector.os C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\W3QTUX67\rule[1].htm
10.01.2011 23:13:40 Обнаружено: Exploit.JS.Pdfka.cyk C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WT27WPMZ\xwbvxsbpyrjs[1].pdf/data0000
10.01.2011 23:13:41 Удалено: Exploit.JS.Pdfka.cyk C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WT27WPMZ\xwbvxsbpyrjs[1].pdf
10.01.2011 23:15:56 Задача завершена
Лечение активных угроз: завершено 58 минут назад (событий: 4, объектов: 1445, время: 00:00:41)
10.01.2011 22:23:35 Задача запущена
10.01.2011 22:23:35 Обнаружено: Trojan-Ransom.Win32.HmBlocker.aca C:\Documents and Settings\User\2417410006\2417410006.exe
10.01.2011 22:23:41 Удалено: Trojan-Ransom.Win32.HmBlocker.aca C:\Documents and Settings\User\2417410006\2417410006.exe
10.01.2011 22:24:16 Задача завершена
[/CODE]

Ужасного ничего не заметил, вроде всё работает.
Посмотрите пожалуйста логи

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O20 - AppInit_DLLs: c:\windows\system32\surbkcj.dll
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\User\2417410006\2417410006.exe','');
QuarantineFile('c:\windows\system32\surbkcj.dll','');
DeleteFile('C:\Documents and Settings\User\2417410006\2417410006.exe');
DeleteFile('c:\windows\system32\surbkcj.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи

[QUOTE=Olejah;754329]Закройте все программы
Отключите

Пришлите файл [B][COLOR=Red]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR=Red][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи[/QUOTE]
Карантин отправил

Ничего необычного

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 9.4[/url] или удалите старый

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]