порнобаннер и его последствия

[Ress]

Недавно подхватил порнобаннер. При помощи сервиса касперского убрал и дальше сделал следующее:
1. Просканировал систему winxp антивирем nod32 4.0.474.0. Ничего не нашел
2. В безопасном режиме просканировал dr. web cure it. Тот нашел трояна в temp папке и удалил его. Название извините забыл). Но есть подозрение что все таки вирус еще сидит. И при загрузке системы появляется ошибка rihd.pro не найден указанный модуль. И еще такой момент - у меня подключение к интернету не автоматом, надо заходить в сеетевые подключения и включать инет. А теперь комп сам в нет лезет. Это может быть связано с вирусом?
При создании 2 файла (syscheck) не удалось подключится к сети интернет.

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

F2 - REG:system.ini: Shell=Explorer.exe, rundll32.exe rihd.pno eaoydsi

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\rihd.pno','');
 DeleteFile('C:\WINDOWS\system32\rihd.pno');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)

[Ress]

Карантин загрузил. Вы получили его?
p.s. надо было выполнять пункт 6 из правил - "После загрузки инструментов"? Я на всякий случай сделал)
Логи приложил

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
 QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
 QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
 DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');
 DeleteFile('C:\WINDOWS\system32\netprotdrvss');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM.

[Ress]

если я ie не пользуюсь можно оперу включить?

[polword]

включите и то и то

[Ress]

карантин сделал и отправил. Получили?
Нужные логи приложил

[Шапельский Александр]

Удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Проверим некоторые файлы, выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\x.exe','');
QuarantineFile('D:\Downloads\EasyRecoveryPro-6_10.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог MBAM

[Ress]

Как удалить в MBAM?
Самому в реестр лесть?
upd. разобрался сейчас все сделаю

Добавлено через 2 часа 2 минуты

карантин прислать не удалось. Пишет ошибку, что такой файл уже закачан.
И я все таки не могу понять как удалять в МВАМ. Когда пытаюсь удалить, она сначала пытается поместить удаляемые в карантин и виснет

[polword]

И я все таки не могу понять как удалять в МВАМ.

посмотрите тут http://virusinfo.info/showpost.php?p=493584&postcount=2

[Шапельский Александр]

карантин прислать не удалось. Пишет ошибку, что такой файл уже закачан.

"Мой кабинет" очистить в "Вложения"

[Ress]

все, в МВАМ удалил)
архив карантина сделал сам, поставил пароль virus и отправил. И новый лог МВАМ сделал

[Шапельский Александр]

карантин выслал и новый лог МВАМ сделал

Что-то не вижу.

[Ress]

исправил

[Шапельский Александр]

Нужных файлов в карантине нет, выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\x.exe','');
QuarantineFile('D:\Downloads\EasyRecoveryPro-6_10.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.

[Ress]

карантин загрузился?

[polword]

файлы чистые
- Сделайте hijackthis.log

[Ress]

вот логи: (еще и avz на всякий случай сделал)

[Шапельский Александр]

В логах чисто, что с проблемой?

[Ress]

баннера нет, rihd.pno нет интернет работает - словом вроде все ок). СПАСИБО ВАМ, парни, что помогли) можно закрыть тему