Вирус: ДЗ и реестр отключены

[Khabby]

Вставил флешку друга в комп, вылезло сообщение наподобие "Не найден диск D", сначала не придал внимание, только потом понял что это первый признак вируса на флехе. В общем, при попытке запустить ДЗ выдает: "ДЗ отключен администратором", Пуск-Выполнить-regedit: Редактирование реестра запрещено администратором системы. Выполнение команды Файл-Мастер поиска и устранения системных проблем-*обнаруживается 2 проблемы - блокировка дз и реестра*-исправить - ничего не дает. При изменени степени опасности на "Все проблемы" и потоврном "Исправлении отмеченных проблем" ДЗ и реестр таки открываются на 1 раз, затем блокируются снова. Сменяется заставка раб.стола. Нельзя прочитать письма через IE или Opera'у. Нет доступа к сайтам Касперского, не скачиваются файлы с названием kaspersky и dr.web. Чтобы запустить AVZ, avz.exe пришлось переименовать в 765.pif . С помощью программы Starter видно, что постоянно запущены пара-тройка процессов из C:\DOCUME~1\Admin\LOCALS~1\Temp. Удалить .exe файлы этих процессов нельзя, Unlocker удаляет их после ребута, но там появляются новые. Так же, не внушает доверия "Explorer.EXE" . При попытки вырубить его, он запускается сразу же самостоятельно. .exe файлы запускаются без проблем, не запускается только AVP. В безопасном режиме не получается ничего запустить, тк BSOD.
Хеееелп...
Вот логи:
hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[light59]

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\yew.bat','');
 QuarantineFile('C:\yannh.cmd','');
 QuarantineFile('C:\p1y2.cmd','');
 QuarantineFile('C:\o1.com','');
 QuarantineFile('C:\m2nl.bat','');
 QuarantineFile('C:\iky.bat','');
 QuarantineFile('C:\i.bat','');
 QuarantineFile('C:\h3.bat','');
 QuarantineFile('C:\e.cmd','');
 QuarantineFile('C:\abk.bat','');
 QuarantineFile('C:\3rl3lqbq.bat','');
 QuarantineFile('C:\2u.com','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\avp2.pif','');
 DeleteService('abp470n5');
 QuarantineFile('C:\WINDOWS\system32\drivers\mpihkr.sys','');
 QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\mpihkr.sys');
 DeleteFile('C:\2u.com');
 DeleteFile('C:\3rl3lqbq.bat');
 DeleteFile('C:\abk.bat');
 DeleteFile('C:\e.cmd');
 DeleteFile('C:\h3.bat');
 DeleteFile('C:\i.bat');
 DeleteFile('C:\iky.bat');
 DeleteFile('C:\m2nl.bat');
 DeleteFile('C:\o1.com');
 DeleteFile('C:\p1y2.cmd');
 DeleteFile('C:\yannh.cmd');
 DeleteFile('C:\yew.bat');
BC_ImportALL;
 BC_DeleteSvc('abp470n5');
ExecuteSysClean;
 ExecuteRepair(10);
 ExecuteRepair(11);
 ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36388
Повторите логи по правилам.

Добавлено через 4 минуты

Очистите TEMP папки кеш и прочее http://virusinfo.info/showthread.php?t=10025

[Khabby]

Скрипт выполнился без проблем.
"Очистка папки Temp" не помогает, в ней все равно заново создается некая папка "WPDNSE" и пара .exe приложений.
Карантин выслан

[Khabby]

Вот новые логи:
virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[light59]

В AVZ скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ysmg.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ofotmx.exe');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\ysmg.exe','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\ofotmx.exe','');
 DeleteFile('c:\docume~1\admin\locals~1\temp\ofotmx.exe');
 DeleteFile('c:\docume~1\admin\locals~1\temp\ysmg.exe');
bc_importall;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
 ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36388
Повторите логи по правилам.

[Khabby]

Скрипт выполнился, карантин выслан, нью логс:
virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[light59]

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

безопасный режим работает?
Что с остальными проблемами?

[Khabby]

Безопасный режим по прежнему не работает - в момент "press ESC for cancel loading sysptd[не помню точно как название]" вылезает БСОД. ДЗ и реестр так же недоступны. В папке Temp постоянно создается папка "WPDNSE" и пара .exe-приложений. Невозможно прочитать e-mail'ы. В процессах висит по 2-3 процесса, запущенных из папки Temp. Если by AVZ исправить проблемы блокировки ДЗ и реестра, и сразу же запустить повторный поиск "Поиск и исправление" - найдены Блокировка ред. реестра и ДЗ.
В целом, если не считать удаленных первым скриптом cmd и bat'ов, ничего не изменилось.

[light59]

В AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mschco.exe','');
BC_Importquarantinelist;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам по той же ссыке

[Khabby]

Извините, что так долго, часовой пояс +7 мск
Карантин выслан.
p.s.: логи выкладывать каждый раз или только по вашему запросу?

[pig]

Не надо самодеятельности. Только то, что просят.

[Khabby]

light59, такими темпами мы не успеем до НГ
А если серьезно - что там у меня, все плохо? Или хуже некуда? Неизвестность страшнее всего.

[light59]

в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\mschco.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\mpihkr.sys');
 DeleteService('abp470n5');
BC_ImportDeletedList;
 BC_DeleteSvc('abp470n5');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи повторите.

Добавлено через 1 минуту

И ещё вопрос. Проверку CureIt делали? Или он у вас не скачивается?

[Khabby]

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Вы правы. Проверку CureIt не делал, из-за того что не скачивается.

[Khabby]

Up! И тигры у ног моих сели...

[light59]

В AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\drivers\mpihkr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteRepair(17);
BC_Activate;
end.

Отпишитесь, что с проблемами.

[Khabby]

Проверка завершена
Удаление файла:C:\WINDOWS\system32\drivers\mpihkr.sys
>>>Для удаления файла C:\WINDOWS\system32\drivers\mpihkr.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> удален параметр DisableTaskMgr ключа HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
[микропрограмма лечения]> удален параметр DisableRegistryTools ключа HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System

После перезагрузки(или если без ребута, а просто вырубить AVZ) все "как обычно" - ред. реестра и дз блокированы, e-mail'ы не читаются. Повторное выполнение скрипта дает такой же результат.
Если не выключать AVZ после выполнения скрипта, то по нажатию на ctrl+alt+del вообще ничего не происходит, а на Пуск-Выполнить-regedit: "Отказано в достпуе к указанному устройству или файлу<....>объекту"(ну это, я так понимаю, из-за AVZGuard'a). Но! В это же время(т.е. AVZGuard 'on') AVP не запускается(через "Запустить приложение как доверенное" , конечно же) и e-mail'ы по-прежнему нечитаемы.

[Khabby]

Ага, значит так - сканер от Dr.Web'a с последними базами достал. Он обнаружил несколько троянов, и исцелил от "Win32.Sector.16" все ехе-файлы. Теперь есть доступ к сайту Касперского, читаются электронные письма. Но проблема блокировки ДЗ и ред.реестра по-прежнему актуальна.

[pig]

Должен такой скрипт помочь:

Код:

begin
 ExecuteRepair(6);
 RebootWindows(true);
end.

[Khabby]

Выполнил скрипт, ребут. Жму ctrl+alt+del и О! Чудо! ДЗ заработал! закрываю дз, запускаю еще раз - и все. Опять старая песня - ДЗ отключен администратором.
Начал делать проверку сканером Dr.Web - оказалось, что все ехе-файлы снова заражены Win32.Sector.16 => нет доступа к сайту лаб-ии Касперского.
Что делать!?

Добавлено через 1 минуту

Про exe-шники в папке Temp вообще молчу.