Вирус "Б...ДЬ" блокировка

[Kalashnikov]

По локальной сети получили этот подарок. Как потом выяснили это был самораспаковывающийся архив Photo.exe. Dr.Web и Outpost не сработали, все пропустили. В техслужбу Dr.Web эту заразу отправили. Одну машину "вылечили" переустановкой системы. За вторую боремся - много ценного на ней. Проявление обычное просят отправить деньги, загружается IE с фотографией, пуск меню и рабочий стол пустые,папки Windows и Program Files скрыты, запуск программ блокируется, запуск файлов запрещается причем любых и exe и cmd не пробовал только pif пишет что нету прав, запрещено администратором и тому подобное. На машине два профиля пользователей, оба с правами администратора, создать новую учетную запись с правами пользователя не дает. Запустил программу LiveCD один файл удалился. Зашел через безопасный режим с поддержкой командной строки и в реестре поставил возможность запуска regedit и .exe как было написано тут на форуме в более ранних темах. Удалил заставки и все "вымогательства" эти окна больше не появляются. Теперь ситуация такая. В безопасном режиме через командную строку в одном профиле пользователя можно зайти в реестр и можно запустить explorer. Папки открывать можно но ни один файл запустить невозможно. В безопасном режиме зайдя другим профилем пользователя даже командной строкой невозможно зайти в реестр и соответственно explorer. Явно стоят запреты на уровне безопасности и администратора. Подскажите с чего начинать маневры ?

[Гриша]

Попробуйте переименовать avz.exe в explorer.exe или winrar.exe и запустить...

[Kalashnikov]

переименовал в explorer.exe и в защищенном режиме из командной стоки запустил. AVZ открылось. Попробуем выполнить все действия по правилам.

[Kalashnikov]

результаты проверки.

[kps]

Выполните скрипт в AVZ:

Код:

var 
 i : integer; 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportALL;
DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
for i := 1 to 8 do 
 ExecuteRepair(i);
ExecuteRepair(11); 
ExecuteRepair(16); 
ExecuteRepair(17); 
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss'); 
DeleteDirectory('%SysDisk%\Windows 91');         
DeleteDirectory('%SysDisk%\Windows 98'); 
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true); 
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true); 
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Documents and Settings"', 0, 3000, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: vmmreg32.dll

Пришлите карантин по правилам.
Сделайте новые логи.

C:\av1\iexplore.exe - это у Вас AVZ был так переименован?

[Kalashnikov]

Совершенно верно, его так обозвали, все варианты пробовал. Сработал только один explorer.exe с запуском из командной строки в безопасном режиме. Вот новые данные. Карантин выслал. Если будет Ваше желание могу выслать и самого "зверя" от которого все беды были.

[kps]

В логах плохого не видно. Файл высылайте как карантин, в архиве с паролем virus. Что с проблемами?
P.S. То, что установлен Radmin, Вы в курсе?

[Kalashnikov]

из видимых проблем это заблокирован один а может и все порты USB. Точнее не обнаруживает флешку. Мышь и клавиатура работают. Удалял эти устройства но после установки проблема не решалась. Думаю повреждены сами файлы драйверов, этот случай на форуме уже присутствовал.Некорректно работает видеокарта, буду завтра пробовать переустановить драйвера.
Radmin стоял, лично ставил, чтоб не бегать по помещениям к рабочим местам, ибо вопросы и крики о помощи не соответствовали реалиям.
"Зверя" отправил в ZIP архиве Virus пароль virus.

[Kalashnikov]

P.S. Сотрудники общались в проекте Mamba с дамами. Вот таким образом и получили ответ. А мы под раздачу попали следом, причем через подключенный удаленный жесткий диск. Другие компьютеры в сети , где не было прямого подключения заражены не были.

[Kalashnikov]

Сегодня устанавливал драйверы на видеокарту. Ситуация такая
- удаляю устройство - устанавливаю - драйвера - все отлично
-перезагружаюсь - драйвера слетают
Сделал логи - прилагаю
карантин выслал. В нем один файл. Все файлы тянут на 16 Мб
Появились изменения в EXE файлах добавилось расширенте bak
теперь выглядят так *.exe.bak
Возможно это результат работы Reg Organizer

[PavelA]

Вот это:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Может означать только одно: малваре было, но удалено.

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
- винда левая. Обновленя не поставлены.
Далее выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Шеф\Шаблоны\Brengkolang.com');
 DeleteFile('c:\huadio.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Это остатки Бронтока и еще какой-то малваре.

Сделать новые логи.
Обновить Виндовс + все обновления.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. \зверь\photo.exe - Trojan.Win32.Delf.jqa( BitDefender: Gen:Trojan.Heur.D156A99CCC )