Вирус блокирует запуск AVZ и HiJackThis

[Склеротик]

И снова здравствуйте!
Помогите, пожалуйста, летит траффик , провайдер говорит - качают с торрента. Проверил, нет у нас клиентов. При попытке сделать логи AVZ и HiJackThis не запускаются. Почитал форум, взял AVZ у хелпера ГРИША с запуском под ДОС. Хайджек так и не запустить. Сетевое подключение программно не отключается, занято "Другим процессом..." отключал для логов физическим отключением кабеля.
Пожалуйста, помогите!

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('seclogonCryptSvc');
 TerminateProcessByName('c:\docume~1\e448~1\locals~1\temp\init.exe');
 QuarantineFile('digeste.dll','');
 QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
 QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
 QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
 QuarantineFile('C:\WINDOWS\msauc.exe','');
 QuarantineFile('C:\WINDOWS\system32\1049l.exe','');
 QuarantineFile('c:\docume~1\e448~1\locals~1\temp\init.exe','');
 DeleteFile('c:\docume~1\e448~1\locals~1\temp\init.exe');
 DeleteFile('C:\WINDOWS\system32\1049l.exe');
 DeleteFile('C:\WINDOWS\msauc.exe');
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('digeste.dll');
 DeleteService('seclogonCryptSvc');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('seclogonCryptSvc');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Склеротик]

Все сделал, карантин выслал, но обычный АВЗ и Хайджек не запускаются.

[PavelA]

Выполнить скрипт:

Код:

begin
ExecuteRepair(9);
RebootWindows(true);
end.

профиксить:

Код:

O20 - Winlogon Notify: crypt - crypts.dll (file missing)

Попробовать поработать нормальным AVZ

[Склеротик]

Все выполнил. АВЗ и Хайджек заработали в штатном режиме!
Просмотрите, пожалуйста, логи.

[PavelA]

Пуск - выполнить - sc delete Wmspsei. После этого повторить лог Хиджака.

Добавлено через 1 минуту

Вот с этим всем надо разобраться:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

[Склеротик]

новый лог.

[PavelA]

Выполнить:

Код:

begin
BC_DeleteSvc('Wmspsei');
BC_Activate;
ReboorWindows(true);
end.

Повторить лог Хиджака.

[Склеротик]

Выполнить:
Повторить лог Хиджака.

Поправил скрипт на RebootWindows т.к. видимо опечатка.
Выполнил.
Свежий лог Хайджека.
По прежнему невозможно отключить сетевое подключение:
" Невозможно отключить подключение в данный момент. Возможно, данное подключение использует один из протоколов, не поддерживающих "Plug&Play", либо оно было инициировано другим пользователем или системной учетной записью"
Указанные Вами службы поотрубил, а как отключить удаленных пользователей и компания "( Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику)" я не знаю.

[PavelA]

195.177.122.1,195.177.123.1 - это Ваши настройки?

По поводу служб: не переборщите с отключением.
Скрипт для отключения компании:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end.

[Склеротик]

Это DNS адреса, которые нам провайдер дал (Вест Колл)
Компанию отключил...
А в логе все впорядке было?

[PavelA]

Я в логе больше ничего плохого не увидел.

[Склеротик]

Спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\docume~1\e448~1\locals~1\temp\init.exe - Email-Worm.Win32.Joleee.jx ( BitDefender: Trojan.Waledac.Gen.1 )
  2. c:\windows\system32\1049l.exe - Email-Worm.Win32.Iksmas.akl ( BitDefender: Trojan.Waledac.Gen.1 )