Знакомые попросили почистить машину так как антивирус не справляется.
На месте стало ясно что стоит НОД32, детектит C:\WINDOWS\system32\cru629.dat прописанный в APPInit_Dlls но снести никак не может. Попытки убийста руками ничего не дают даже через отложенное удаление файла - сносится но после ребута снова появляется.
Удаление ключа ничего не даёт, через секунду он снова прописывается в реестре.
В ходе дальнейшего колупания был обнаружен второй ключ с аналогичным поведением - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"="kdptr.exe"
Подобный файл в системе не найден.
Через Regmon (http://technet.microsoft.com/en-us/s.../bb896652.aspx) стал смотреть кто перепрописывает ключи в реестр
и был удивлён увидев что засветились в этом почти все процессы
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
После скрипта и ребута сдуру в эксплорере зашёл в папку карантина AVZ и НОД снёс cru629.dat что был на карантине :/
Карантин kdptr.exe залил по ссылке.
lmdwec.exe отсутствует на дисках и в карантине.
Проблемы пофиксил.
Обновление Винды это отдельная тема - даёт ошибку 0x80072EE7.
Пытался фиксить согласно http://support.microsoft.com/?kbid=836941
Ни один из советуемых способов не помог - на компе нету файрвола кроме родного виндового, акселераторы не стоят, ни правка HOSTS ни добавление сайтов апдейта в траст зону, ни очистка записей о прокси (да и неиспользавался прокси сервер).
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\lmdwec.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VT1QGMHE\rzljeqykwh[1].htm','');
QuarantineFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\4EIT91NA\Install[1].exe','');
QuarantineFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[2].exe','');
QuarantineFile('C:\Program Files\SPSS\ProductRegistration.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[2].exe');
DeleteFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VT1QGMHE\rzljeqykwh[1].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\N409TELU\dsuper[1].htm');
DeleteFile('c:\lmdwec.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачайте карантин по красной ссылке вверху темы, повторите 3 лога.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: