последствия лечения !internet security!

[JusT]

добрый день
давеча словил винлокер "internet security"
на 5й ребут компа этот баннер секьюрный запускался почти сразу, заблочил таскманагер,реестр,мсконфиг... короче всё
заходы в папку с авз приводили к моментальному вырубанию компа
а любые ЕХЕ файлы - активизировали прогон "сканирования" и предложения удалить/полечить
подборы кодов ничего не дали, но зато с 4го прохода при запуске с лайв_сд АВП_ТУл нашёл таки в

C:\Documents and Settings\Alinka\Local Settings\Temp\ibsjxt.dll

и просто систем 32 :

Packed.Win32.Krap.w C:\WINDOWS\Fonts\kartika.ttf:SRH7L3+K
Packed.Win32.Krap.w C:\WINDOWS\system32\ukgefgbq.dll
Packed.Win32.Krap.w C:\WINDOWS\system32\ukgefgbq.dll Отложено
Packed.Win32.Krap.w C:\WINDOWS\system32\vykoq.dll
Packed.Win32.Krap.w C:\WINDOWS\system32\vykoq.dll Отложено
Packed.Win32.Krap.w C:\WINDOWS\system32\ukgefgbq.dll
Packed.Win32.Krap.w C:\WINDOWS\system32\vykoq.dll

Packed.Win32.Krap.w

(в предварительно запущеном сейфмоде я всё вычищал - переребутил систему - не помогло - тогда залез под лайв_сд и с 4го прохода поудалял всё

C:\Documents and Settings\Alinka\Local Settings\Temp
инфицирован Trojan.Packed.19647) - это сказал Кюрейт.

в общем, поудаляв, и полностью обновив систему виндовым апдейтером, столкнулся с тем, что рабочий стол появляется чистым - висит минуту, и после этого начинают появляться ярлыки.
а антивирь (symantec corporate 10.06) перестал запускаться, и обновляться.
далее - появляется надпись типа "память не может быть read" с разніми кодами ошибки - это если регклинером идти по реестру.
кстати реестр, таскманагер и прочее - восстановил через АВЗ, когда удалил баннер

вот.. прикладываю логи согласно правил. стоит ли дальше что-либо шаманить?
какой антивирь посоветуете, который словит этого гада ?
и вопрос - как же так он гад просачивается, если на этом компе ходят сугубо на википедию и вконтакте? просто не охотно снова возится несколько часов с этой забавкой...

установил symantec endpoint protection - а он не запускается:
"невозможно выполнить данную программу из-за политики ограничения применения програмного обеспечения.
за дополнительной информацией к админу..."
не думаю, что фулл вин.апдейт мог к такому привести - я нигде политик не настраивал.
хелп

[PavelA]

ФАйл -- Восст системы -- п.6 отметить и выполнить.

[JusT]

шикарная форма появилась. спасибо.
политики пофиксились (я там отметил больше половины на всякий случай)
загрузка раб.стола почти нормальная.

а что с логами ? там чисто?
и - как уберечься от этих винлокеров в дальнейшем?
существует ли защита именно от них?

[PavelA]

Для зачистки:

Код:

begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Fonts\kartika.ttf:SRH7L3+K', ''));
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));

RebootWindows(true);
end.

станд скрипт №2 повторите и лог пришлите.

[JusT]

постоянно находит вот єто
перехватчик spaz.sys
(установлен symanrec endpoint protection) - может єто оно ?

[PavelA]

spaz.sys - детка от Даемона.

Более ничего плохого не увидел.

[JusT]

т.е. можно сказать что машина чиста?
ежели так - огромное Вам спасибо

PS профилактики от последующих заражений подобной дрянью? ибо винлокеры сейчас - больная и основная тема...