После лечения трояна не работает Проводник

[SergM]

cureit-beta нашла троян. Вроде вылечила, не удалила. После этого проверка сканером Dr.Web 4.44 через контекст не работает.
Начались проблемы с Проводником.
Установил заново бету Dr.Web 4.44 поверх имеющейся.
Обновился, перезагрузился... приехал...
Система грузится 5-7 мин., вместо 10 сек.
Рабочий стол появляется через 1 мин., панели быстрого запуска не стало, затем вообще пропала панель задач.
СпайдерМыла в трее тоже нет, хотя в процессах он есть. Много чего ещё нет.
В Диспетчере задач в столбце пользователи - пусто...
Звука нет, драйвер клавы не устанавливается (клава не пашет - она у меня с расш. функциями, и они не работают), при установке драйвера пишет, что не может получить доступ к процессу, и установка завершается.
Выложить требуемые логи AVZ не представляется возможным. При выполнении скрипта для этого раздела AVZ зависает на проверке файлов chm в папке C:\Program Files\Common Files\Microsoft Shared\OFFICE11
При попытке простого сканирования AVZ зависает на файле winlogon.
Смог сделать только лог HijackThis.
Проверка поражённого раздела из-под чистой системы (с другого жёсткого диска) сканером Dr.Web 4.44 с последними обновлениями ничего не выявляет. Всё чисто.
На чистой системе тоже начались проблемы с explorer: постоянно вылезает ошибка, создаётся файл Доктора Ватсона.
Прошу советов и помощи.

[Макcим]

У Вас AVZ версии 4.25? Удалите пока Dr.Web совсем.

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteRepair(1);
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(9);
 ExecuteRepair(11);
 ExecuteRepair(16);
RebootWindows(false);
end.

"Пофиксите" в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

Сделайте ещё раз три лога в том числе AVZ. Если не получится, тогда сделайте лог HJT + дополнительный как написано здесь.

[SergM]

Версию AVZ скачал 4.25, обновил базы.
На поражённой системе скрипты не выполняются, AVZ зависает.
Copy\Past не работает. Может батник выложите для запуска?
Сейчас проделываю всё сказанное для условно чистой системы, которая сейчас тоже начинает тормозить и слать Билу отчёты. Выкладываю проблемный файл. Пароль стандартный. Странно сейчас антивирь на него не ругается. Может вирь настолько хитрый?
Ниже логи для условно чистой системы. На заражённой ничего не могу поделать.

[SergM]

Удаление DrWeb на заражённой системе не удалось: Код ошибки -5003 : 0xffffec75
Сведения об ошибке:
>SetupNew\SetupDLL.cpp (711)
pAPPr.Web
PVENDORoctor Web, Ltd.
PGUID:BBE2F69C-4338-11D7-8F0C-00A0244F4E2D
$12.0.0.58849
@Windows XP Service Pack 2 (2600) BT_OTHER 376.22
Выкладываю пролемный файл. Пароль стандартный.

[Макcим]

На поражённой системе скрипты не выполняются, AVZ зависает.

Даже этот лог нельзя получить?

Выкладываю проблемный файл. Пароль стандартный.

А вот это не надо делать. Вирусы выкладывать на форум запрещено!

Добавлено через 1 минуту

Удаление DrWeb на заражённой системе не удалось

На будущие будет урок - нельзя ставить на зараженную машину бета-версии софта, тем более софта для лечения\защиты.

[SergM]

Даже этот лог нельзя получить?
да, на заражённой нельзя получить даже этот лог. Пробовал не раз.

Добавлено через 1 минуту
На будущие будет урок - нельзя ставить на зараженную машину бета-версии софта, тем более софта для лечения\защиты.

В том-то и дело, что бетка 4.44 ставилась и стояла на чистой машине.
Ставил заново её поверх для попытки устранения невозможности запуска сканера через контекстное меню.

Файлы с вирусами выкладывать сюда не буду больше. В своё время О. Зайцеву на этом форуме высылал на мыло экземпляр. Он добавлял в утилиту лечение. Поэтому и сейчас выложил, но, как оказалось, был не прав. Если надо будет его выслать, скажите куда и кому.

[Макcим]

В том-то и дело, что бетка 4.44 ставилась и стояла на чистой машине.

На зараженную машину её ставить не следовало. бетка 4.44 оказалась для компьютера страшнее этого трояна

В своё время О. Зайцеву на этом форуме высылал на мыло экземпляр. Он добавлял в утилиту лечение. Поэтому и сейчас выложил, но, как оказалось, был не прав. Если надо будет его выслать, скажите куда и кому.

Олег принимает файлы здесь. Но этот отправлять не надо - я уже сделал за Вас.

В логах я не нашел ни чего подозрительного.

[SergM]

Спасибо. Дальше-то что делать?

[Макcим]

Вы не ответили на вопрос про дополнительный лог (http://virusinfo.info/showthread.php?t=10387). Ваш Narkozz crack теперь называется Касперским как Backdoor.Win32.Poison.k.

[SergM]

Отвечаю на вопрос: ничего на заражённой системе AVZ выполнить не может, в т.ч. и http://virusinfo.info/showthread.php?t=10387
Мне, конечно, приятно, что ЛК теперь знает этот "мой" Narkozz crack и даже весьма поэтично его обозвала. Но и только... мне от этого ровно никакой пользы. Может всё же есть ещё способы что-то выполнить? Какой-нибудь .bat или нечто др.? Или действительно только переустановка ОС?

[Макcим]

Ни чего не могу сделать, так как не знаю что поломалось в ОС. Для этого нужны логи, хотя подозреваю что случилось после Dr.Web'а. Вряд ли Backdoor мог такое устроить. Раз уж пользовались бетой, отправьте дампы в Dr.Web. Можно написать им в саппорт, может подскажут как вычистить с компа остатки их поделки. Выводы надеюсь для себя сделали.

[pig]

Dr.Web ещё не получилось удалить? Попробуйте по этой инструкции. Затем можно попробовать CureIt-beta. Хотя вы сканер уже гоняли... Потом AVZ.

[SergM]

DrWeb сильно всё перелопатил. Ничего не помогло. Реестр совсем не правится. Ничего не удаляется и не корректируется. Пришлось систему заново ставить. Спасибо всем за помощь.

[pig]

Жаль. Сочувствую. Вообще было бы интересно посмотреть на этот экземпляр.

[SergM]

Спасибо за сочувствие. Оно как нельзя к месту. Устанавливать несколько десятков рабочих программ среди которых есть 1-1.5 Гб, дополнительных утилит, кодеков…, некоторые крякать, некоторые русифицировать, настраивать их… Ну Вы понимаете.
До сих пор ещё ставлю и конца не видно. Теперь хватит – как только всё стабильно встанет, сразу Norton Ghost и 90% проблем не мои!

Теперь по теме. Я всё же склоняюсь к мнению Maxima, что виновата бета Доктора.
Мне кажется, это её инсталлятор кривой наделал после повторной установке поверх имеющейся. В реестре были чудеса, которых я никогда раньше не встречал – одинаковые ветви с именами 001, 002, полный запрет на любую правку и пр. …. На эти вещи – spidernt.exe –remove, spiderml.exe –remove, regsvr32.exe /u DRWSXTN.DLL винда никак не реагировала. AVZ зависала на winlogon и в некоторых действиях на др. файлах.
Файл Вам могу выслать, напишите куда. Будет интересно Ваше мнение. И всё же, как уже сказал Maxim, вряд ли троян мог наделать такого

Добавлено через 17 минут
Забыл ещё интересное про Доктора и этот вирус.
Сначала cureit-beta его как бы вылечила, не удалила. Потом Бета Доктора детектить перестала. Вчера вечером та же бета после обновления баз стала детектить. Отправил всё равно образец на анализ, через полчаса добавили ещё одну запись. Чудеса?

[Макcим]

Файл Вам могу выслать, напишите куда.

Какие файлы?

[SergM]

Какие файлы?

Это я для рig писал. Он вроде как выразил итнетрес "посмотреть на экземпляр".

[Макcим]

Он вроде как выразил итнетрес "посмотреть на экземпляр".

А разве что-то сохранилось?

[SergM]

А разве что-то сохранилось?

Да, конечно. Мне по сетке его снова выслали -. Уже в архиве и с паролём.

[pig]

В реестре были чудеса, которых я никогда раньше не встречал – одинаковые ветви с именами 001, 002

Просто 001? Или ControlSet001?

Это я для рig писал. Он вроде как выразил итнетрес "посмотреть на экземпляр".

Имелся в виду больной в целом.

Добавлено через 1 минуту

Мне по сетке его снова выслали. Уже в архиве и с паролём.

Кого? Трояна? Зашлите по ссылке вверху.