Подозрения AVZ

Здравствуйте.
Ситуация следующая: на зараженном компе отказывался грузиться рабочий стол. Все (те, что успел осмотреть) программы работают, однако, нормально. В ходе выполнения Правил AVZ удалила некоторые вирусы и, как результат, стал грузиться рабочий стол. Однако кое-что, насколько я понял, осталось под подозрением...

Логи прилагаю:

Вы карантин по правилам загрузили? Если нет -закачайте.

Потом:

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {C613CE22-151C-4331-94FF-F113A153F66D} - error (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\spy.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

[QUOTE=Rene-gad;262981]Вы карантин по правилам загрузили? Если нет -закачайте[/QUOTE]
Результат загрузки Файл сохранён как 080804_031716_virusinfo_cure_4896bb0c08df9.zip
Размер файла 115541
MD5 1ac863f769710397bb8fa9680559834c

Файл закачан, спасибо!

--------------
Пошел делать новые логи...

После выполнения скрипта и перезагрузки оказалось, что рабочий стол так и не грузится, при этом на долю секунд вылезает ДОСовское окошко с указанием файла C:\WINDOWS\system32\userinit.exe. Затем я как обычно открыл проводник и, о чудо, рабочий стол вновь появился...

Получившийся карантин закачал, логи прилагаю:

CureIt ом проверялись? Если нет - сделайте проверку.

Потом:
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3E.tmp','');
QuarantineFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3.tmp','');
QuarantineFile('C:\WINDOWS\Temp\gold.exe','');
QuarantineFile('C:\WINDOWS\Temp\187A.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\Temp\187A.tmp');
DeleteFile('C:\WINDOWS\Temp\gold.exe');
DeleteFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3.tmp');
DeleteFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3E.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

[QUOTE=Rene-gad;263013]CureIt ом проверялись? Если нет - сделайте проверку[/QUOTE]
Не могу, не получается его скачать...:(

[QUOTE=nestor;263022]Не могу, не получается его скачать...:([/QUOTE]Выполняйте описанное, после перезагрузки и перед выполнением повторных логов попробуйте: ссылка рабочая, только что проверил.

[QUOTE=Rene-gad;263027]ссылка рабочая, только что проверил.[/QUOTE]
не получается >:( :( у меня не качается по фтп (или может я что-то не так делаю?)

Скрипт выполнил, карантин загрузил, логи прилагаю:

[QUOTE=nestor;263041]у меня не качается по фтп (или может я что-то не так делаю?)[/QUOTE]А на другом компе скачать и провериться нет возможности? Тогда сделайте по крайней мере проверку установленным Антивирусом.
В логах сейчас чисто, Сервис Пак 3 установить нужно. Но АВЗ может не видеть каких-то файловых вирусов, поэтому рекомендуем провериться полноценным антивирусом.

А проблема-то, собственно, не исчезла! Все так же при загрузке выскакивает ДОСовское окошко с указанием файла C:\WINDOWS\system32\userinit.exe, а рабочий стол появляется только если из диспетчера задач запустить какое-нить приложение...
Что мне делать дальше? Проверять систему каким-нить антивирусом?

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
DeleteService('Dof48');
DeleteFile('Dof48.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

скрипт выполнил, однако папка LOG после перезагрузки осталась пуста... Что делать дальше?

а причем папка лог ?
читаем ...
[code]
[U][B]Приложение 3. Как прислать запрошенные файлы.[/B][/U]

1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенный карантин) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу [url]http://virusinfo.info/upload_virus.php[/url] , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Загружать только один (1) раз, если вам кажется что не получилось- спросите об этом в теме.
[/code]

сорри,

Результат загрузки
Файл сохранён как 080804_063028_virus_4896e85403b02.zip
Размер файла 310
MD5 478598fc8980ffa82b631b8e4c224182

Файл закачан, спасибо!

C:\WINDOWS\system32\userinit.exe - запакуйте с паролем virus и пришлите ...

Извините, я, наверное, чего-то не понимаю... Когда я в АВЗ ставлю птичку и нажимаю "Архивировать", то в полученном архиве находится файл с расширением ini по типу моего прошлого поста. А когда я руками запаковал и запаролил userinit.exe, то при загрузке мне выдает: ""A:\virus.zip" указал один или несколько файлов, которые невозможно найти."

???

[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]

Вопрос все-еще в силе. Объясните пожалуйста, как заархивировать userinit.exe ???

Почему А:\ ? Вы файл на дискетте сделали?

Да, я переношу логи с зараженного компа на чистый на дискете... карантин, к слову, загружал точно так же и никаких проблем не было...

Кстати, Касперский на этот userinit.exe с проблемного компа отреагировал как "новая угроза Password-protected-EXE (модификация)"

1. Сделайте архив на жестком диске
2. Отключите Касперского - это его нормальная реакция на защищенный архив.

Ну теперь, я думаю, все правильно...

Результат загрузки
Файл сохранён как 080804_085840_virus_48970b1003016.zip
Размер файла 11974
MD5 adfc51e34124aff9404811c36b540b2a

Файл закачан, спасибо!

Файл патченный. Детекта нет, но это не оригинальный файл. Замените на файл из папки C:\Windows\ServicePackFiles\i386 или с другого ПК с такой же системой. Нужно загрузиться с LIVE-CD или с дистрибутива в консоли восстановления -давить на клавишу R при старте.

Спасибо большое! Теперь все в порядке!:)

[QUOTE=nestor;263231]Спасибо большое! Теперь все в порядке!:)[/QUOTE]Логи от п.10 правил повторите, плиз.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.fa[/B] (DrWEB: Trojan.Coresun)[*] c:\\windows\\temp\\gold.exe - [B]Worm.Win32.Socks.fa[/B] (DrWEB: Trojan.Coresun)[*] c:\\windows\\temp\\spy.exe - [B]Trojan-Downloader.Win32.Peregar.co[/B] (DrWEB: Trojan.MulDrop.14988)[*] c:\\windows\\temp\\187a.tmp - [B]Trojan-Downloader.Win32.Mutant.nl[/B] (DrWEB: Trojan.DownLoader.59056)[/LIST][/LIST]