Последствия заражения. Не обновляется KIS.

[mmorok]

Добрый день.
К сожалению, на ваш сайт набрел не сразу, поэтому порядок сбора информации и лечения очень сильно отличается от принятого у вас (читай, имена не были зафиксированы, и удалялось все в тот момент, как только находилось, всеми доступными способами).

ОС: Vista HP SP1 (легальная) со всеми актуальными на прошлую среду обновлениями.

Как было дело (чую, что вся эта писанина вам не понадобится, так как в логах все происходящее сейчас будет описано, но вдруг…):
Во время последнего вэбсерфинга KIS7 трижды предупреждал о попытках загрузки троянов. Все три раза руками загрузка была запрещена. По окончании пользования эксплорером машина не ушла в гибернайт и не стала "завершать работу" через кнопку "пуск". От греха подальше комп был выключен долгим нажатием на "power".
Утром при включении винда объявила о том, что "касперский" совершил ошибку и будет закрыт. Ребуты и попытки запуска руками ни к чему не привели. Так же перестали грузиться сайты Касперского в зоне ком (касперский.ру грузился, только это не спасало - у них даже картинки оформления сайтов на kaspersky.com лежат, не то что дистибутивы продуктов), eset.com, windows_update и как позже выяснилось z-oleg.com. Остальные сайты в зоне "com" работали.
Так как из всех вендоров первым я смог войти на сайт Dr.Web, с его антивируса я и начал. Были найдены BlackDoor в c:\autorun.inf и \\windows\system32\ ”много_латинских_букв».dll , и еще что-то в c:\RECYCLED\ с разнообразным содержимым. Так как антивирус безбожно завис в последней четверти исследования процесс сканирования был остановлен, а все найденное было удалено через shift+del руками, заодно с еще не обнаруженным d:\RECYCLED\. После ребута согласился поставиться и зарегиться тестовый KAV8. Обновляться нормальным путем он не захотел. Проверка машины КАВом прошла до конца, ничего более найдено не было.
Так как надо было восстанавливать работоспособность системы, поиском в инете была найдена AVZ4. Восстанавливать ВиндоусАпдэйт она не стала, а нашла два файла трояна Kuyak (или что-то вроде того) и с десяток подозрений на онлайн геймер троян и еще что-то. К чести программы надо сказать, что она успешно зачистила все «подозрения», хотя и не стала трогать два инфицированных файла (при попытке их вылечить\удалить программа ссылалась на то, что для удаления нужна перезагрузка, только сама программа ее делать не собиралась, а ребут системы на этой стадии не к чему не приводил). Файлы были удалены руками (один был в КЭШе ВиндовсЛайф, а другой в Виндовс\Инсталлер).
С этого момента сканирование различными АВП больше ничего не показывает.
Из того, что сейчас не нормально в системе:
Не грузятся\находятся_в_сети сайты kaspersky.com, eset.com, update.microsoft.com, z-oleg.com.
Какие-то проблемы с рабочим столом - архивы не удаляются полностью, остаются висеть пустыми папками.
Происходят действия похожие на выполнение стороннего скрипта «нажатие на кнопку в программе», то есть текстовый редактор, иногда переставляет курсор вслед за указателем мыши.
Что ремонтировать?

[light59]

AVZ запускать с правами администратора, как написано в правилах. Правой кнопкой на AVZ.exe - Запуск от администратора.
Логи переделайте

[mmorok]

Сделал.

[mmorok]

Что, совсем все плохо? Рекавери диск онли?

[light59]

"Пофиксите" в HijackThis

Код:

O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CB8ED65-8520-4272-8420-2BAA51FDAA08}: NameServer = 85.255.112.197,85.255.112.183
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A7DCD1C-CAE1-40A6-8A93-779C5C59BEAC}: NameServer = 85.255.112.197,85.255.112.183
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.197,85.255.112.183
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.197,85.255.112.183

Если после этого пропадёт интернет, то в настройках сетевого подключения пропишите DNS адреса вашего провайдера.

Выполните скрипт в AVZ

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

Логи повторите.

[mmorok]

Сделал.
Виндовс Апдейт и обновление Касперского появились - между фиксом в HijackThis с выполнением скрипта в AVZ и нижеприведенными логами в автоматическом режиме произошла установка SP2 на MSO2007. Это я к тому, что симптомы могут быть смазаны

---------------------------------------------
Забыл добавить.
Между предыдущими и последними логами на машине появился Денвер (виртуальный сервер с виртуальным диском, пэхапэ и mysql). Стоит на D:\. В момент сканирования был выключен и все автозагруженные его процессы были убиты. Ну или почти все...

[light59]

"Пофиксите" в HijackThis

Код:

O2 - BHO: IexploreOmea - {09628AAA-66AD-4FA2-82E2-698185B66463} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {7418E5F5-0E48-4144-8F92-5CA791C82396} - (no file)
O2 - BHO: (no name) - {DE713078-8012-4B75-92BA-398D4642A64B} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O9 - Extra button: (no name) - {A573D71B-951B-4BAD-B8CC-708AE84769C9} - (no file)

И будьте добры, сделайте то, что написано тут http://virusinfo.info/showthread.php?t=3519.
Это не займёт много времени

Есть ещё проблемы?

[mmorok]

...
И будьте добры, сделайте то, что написано тут http://virusinfo.info/showthread.php?t=3519.
Это не займёт много времени

Файл сохранён как: 090429_162621_virusinfo_files_DM5253_49f8476d49bfd .zip
Размер файла: 17822961
MD5 ab4991020252e8aa0c00a6b0e81a724b

Там правда, четыре браузера

...
Есть ещё проблемы?

Вроде больше нет.
Большое спасибо.

[light59]

Только результат загрузки нужно было там публиковать.
Но всё равно спасибо

Код:

В очереди на добавление в базу безопасных:
высокий приоритет: 65
обычный приоритет: 23

[mmorok]

Я бы поостерегся добавлять.
Вечером умер Вайфай, не загрузился ПантоСвитчер, итд...