Последствия Internet Security

**jOiNt** · 11.01.2010, 23:01

Был вирус Internet Security вроде как избавился, но не запускается практически ни одна программа, диспетчер задач заблокирован.
Заранее благодарен за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**gjf** · 12.01.2010, 03:14

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 QuarantineFile('C:\WINDOWS\system32\Winupdates\update.exe','');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{93344865-74BD-4873-BE65-56539D41A65C}');
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\~TMD.tmp','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\avvtc4j6.SYS','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\3g6DK8Hv.sys','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll','');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\3g6DK8Hv.sys');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\~TMD.tmp');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
 DeleteFile('C:\WINDOWS\system32\Winupdates\update.exe');
 DelCLSID('07B02C90-AB09-5CF1-2D55-5E711C739529');
 RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll', ''), ',,', ',')); {удаление AppInit_DLL}
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(11); {разблокировка диспетчера задач}
 ExecuteRepair(17); {разблокировка редактора реестра}
 SetAVZPMStatus(true);
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

**jOiNt** · 12.01.2010, 13:28

Спасибо. Вроде как все нормально, но Др.Веб не запускается пишет что прав не достаточно.

**gjf** · 12.01.2010, 13:52

Карантин где?

Добавлено через 4 минуты

Выполните скрипт:

Код:

procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
end;
Begin
FixUpdate;
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Eventlog\System\SISNIC', 'EventMessageFile', 'C:\WINDOWS\System32\netevent.dll');
RebootWindows(false);
end.

Система перезагрузится. Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip

**jOiNt** · 12.01.2010, 13:55

Извиняюсь, сделал.

**jOiNt** · 12.01.2010, 14:03

Сделал

**gjf** · 12.01.2010, 14:08

Больше ничего вредоносного в логах не видно.
Попробуем восстановить антивирус: выполните скрипт:

Код:

begin
 ExecuteRepair(6);
end.

Заработал?

**jOiNt** · 12.01.2010, 14:22

Да, спасибо за помощь. =)

**gjf** · 12.01.2010, 14:30

Миссия выполнена

Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.

**CyberHelper** · 13.01.2010, 14:30

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - Packed.Win32.Katusha.e ( DrWEB: Trojan.Botnetlog.138, BitDefender: Worm.Generic.219975, AVAST4: Win32:Rootkit-gen [Rtk] )
2. c:\docume~1\user\locals~1\temp\hhdufkjtp.dll - Trojan-Downloader.Win32.Piker.bnz ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
3. c:\docume~1\user\locals~1\temp\~tmd.tmp - Trojan-Proxy.Win32.Small.aev ( DrWEB: Trojan.Proxy.6207 )

Последствия Internet Security (заявка № 66865)

Опции темы