win32 lockscreen DB trojan

[KNacky]

Доброго времени суток!

в понедельник позвонил братишка - сказал отвалился и-нет. перед этим было сообщение о 6 часах видео, которое необходимо оплатить, или пострадает компьютер.

Сегодня добрался до него, сделал пару логов, но как вижу по разделу помощи, не все нужные... =(((

О системе - winxp pro sp3. Файрвол - аутпост, антивирь - нод32. Базы у него не обновлялись полтора месяца, поэтому видать и подхватил...

Прошу помочь если возможно, с помощью вложенных логов, а то моя 7месячная дочь не очень любит длительные походы на улицу, ибо не май месяц все-таки =) но если нада, то завтра сходим и сделаем нужные логи =))

В любом случае, благодарю за ответ.

[Ingener]

Выполните скрипт в AVZ:

Код:

begin
DelSPIByFileName('C:\Documents and Settings\Admin\Cookies\userlib.dll', false);
AutoFixSPI;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.
Интернет после этого должен заработать.

Для контроля сделайте все логи по правилам.

[KNacky]

Благодарю! Завтра попробую... и выложу новые логи.

[KNacky]

Выложил правильно сделанные логи. И-нета по-прежнему нет.

При загрузке компа Нод грузицца очень долго, похоже что-то в его ядро влезло. Аутпост при включении и-нета говорит что у меня айпи начинается с 169.***... Хотя насколько я помню, у нашего общего провайдера айпишники с 85-86 начинаюцца. С сетевой точно все в порядке, но даже если вбить айпи ручками, банально не могу к модему пробиться...

[Ingener]

1) Скачайте эту программу:
http://www.veldhuizen.speedxs.nl/winsockxpfix.exe
Запустите её и нажмите Fix. Программа отработает и компьютер перезагрузится. После этого нужно будет заново ввести настройки сетевых подключений.
2) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('GarenaPEngine');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\NWL9.tmp','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\NWL9.tmp');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
4) Сделайте новый лог virusinfo_syscheck.zip + такой лог: http://virusinfo.info/showthread.php?t=53070

[KNacky]

Я так понимаю прежде чем все это делать, лучше вырубить нафик антивирь и файрвол, чтоп не мешались? думаю вообще снести, и поставить потом заново что-нить другое...

[snifer67]

Я так понимаю прежде чем все это делать, лучше вырубить нафик антивирь и файрвол, чтоп не мешались?

Да.

[KNacky]

благодарю! бум пробовать... =)

[KNacky]

Снес файрвол и антивирь. После шага №1 попробовал подключиться к инету - не пускает, по-прежнему левый айпи прописывает на сетевую. Поэтому заново сделал шаг 1, за ним и все остальные.

Логи прикрепляю. Проблема пока сохраняется.

З.Ы. Забыл карантин прикрепить как положено. Исправляюсь...

[Ingener]

Сделайте ещё такой лог:
http://virusinfo.info/showthread.php?t=40118

Вы после использования утилиты из поста #5 вводили заново настройки сетевых подключений (желательно уточните их у вашего интернет-провайдера).

[KNacky]

настройки сетевые просты - все автоматом должно определяться, если не пашет, ставим ип 192.168.1.1 и шлюз заканчиваецца на 2. или же вы про настройки модема? Думаю, нужно прояснить, что интернет-соединение на компе посредством адсл-модема. После 1го шага из поста №5 я к модему пробился, но вот заставить его соединиться не смог...

завтра сделаю лог Gmer-ом

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены