Был Win32.HLLM.Perf, теперь последствия....

[ИТАР-ТАСС]

Доброе утро знатоки. У меня случилось следующее:
Чисто случайно обнаружил на компе в одной из папок файл(что-то с Бритней Спирс , проверил, оказался Win32.HLLM.Perf. Стал лечить. Вроде вылечил, хотя....
Перезагрузился, а рабочего стола нет, только одна папка "Мои документы". Стал смотреть как восстановить. Прочитал http://z-oleg.com/secur/advice/adv1103.php - не помогло. Простое восстановление системы также не помогло.
Вчера скачал AVZ стал делать как написано в правилах:
1) Запустил Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info, но на 94% процесс повис, сканируя папку System Volum Information.
2) Все остальное получилось сделать.
Посмотрите пожалуйста. Система-то работает(только через .....). Спасибо.

[PavelA]

Сейчас посмотрю. А восстановление системы отключили ?

Надо попробовать второй скрипт AVZ выполнить в безопасном режиме. Без него неполная информация получается.

[ИТАР-ТАСС]

Перед лечением - нет. Зашел в безопасный режим и пошел кроить.
И когда сканировал AVZ - тоже нет.

Вечером, после работы, попробую.
Что получилось - напишу.
Спасибо.

[PavelA]

1.AVZ файл - выполнить скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe,','');
 QuarantineFile('C:\WINDOWS\system32\restore\rstrui.exe','');
 QuarantineFile('C:\WINDOWS\System32\logon.scr','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
RebootWindows(true);
end.

После перезагрузки.
Прислать карантин согласно приложени 2 правил, с пятого пункта.
Если не получится, то повторить в Safe Mode ( F8 ) без строчки SetAVZGuardStatus(True)

[ИТАР-ТАСС]

То, есть мне сперва выполнить скрипт и прислать карантин, а потом выполнить пункты правил 8, 10 и 11(с отключенным восстановлением системы)?

[Shu_b]

То, есть мне сперва выполнить скрипт и прислать карантин, а потом выполнить пункты правил 8, 10 и 11(с отключенным восстановлением системы)?

Для начала отключите восстановление системы, и пришлите запрошенное.

[PavelA]

Логи нужно делать с отключенным восстановлением, иначе после перезагрузки умный ХР все восстановит назад.

Можно выполнить скрипт из п.8. Перезагрузиться и прислать лог-файл.
Я отметил в скрипте только то, что показалось подозрительным.
И то, только для сбора информации, в нем пока еще ничего не удаляется.

[ИТАР-ТАСС]

Все сделаю, как сказали. Спасибо.

[AndreyKa]

Советую проверить диск на ошибки (свойства диска - вкладка Сервис).

[ИТАР-ТАСС]

Вот, отключил восстановление системы. Сделал пункты 8,10,13.
Но у меня почему-то два файла из пункта 10 в папке LOG. На всякий случай выкладываю все два.

[pig]

virusinfo_cure - это карантин, причём, судя по размеру, пустой.

Хорошо, теперь зверя видать.
AVZ - Файл - Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\vbev5mp.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\MxlW2k.SYS','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7708_quarantine.zip');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки пришлите файл virusinfo_7708_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php. Ссылка на тему: http://virusinfo.info/showthread.php?t=7708

И сделайте новые логи.

[ИТАР-ТАСС]

Выполнил скрипт. Комп перезагрузился. Выслал файл по указанной схеме. Сделал логи. Посмотрите пожалуйста.

[PavelA]

Заинтересовали пара строчек из лога Hijacka. Нужны комментарии хелперов.

Код:

F2 - REG:system.ini: Shell=
O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -c

1.Поискать в AVZ (Сервис -- Поиск файлов на диске) arm32reg
Если найдется, то добавить в карантин и прислать.
2.Профиксить в HijackThis

Код:

O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\

[Shu_b]

Код:

F2 - REG:system.ini: Shell=

также пофиксить в HijackThis

[ИТАР-ТАСС]

Хорошо, сделаю. Логи потом делать и присылать?

[pig]

По-моему, необязательно. Зверя удавили. Больше ничего самодвижущегося не видно.

Один уточняющий вопрос: *.musicmatch.com в доверенные узлы сами заносили?

[PavelA]

Для порядка можно и прислать. Всякое бывает, некоторые вирусы как птица Феникс из небытия возвращаются.

[ИТАР-ТАСС]

Один уточняющий вопрос: *.musicmatch.com в доверенные узлы сами заносили?

Сам. Вместе с мышкой лицензионный проигрыватель прилогался

Пофиксю, пришлю логи для проверки.
Спасибо.

[Shu_b]

Да, странно, зачем восстановление системы в автозагрузке...
имхо тоже пофиксить, нечего этому там делать

1.Поискать в AVZ (Сервис -- Поиск файлов на диске) arm32reg
Если найдется, то добавить в карантин и прислать.[/CODE]

а также ещё разок пошукать эти -
C:\WINDOWS\System32\logon.scr
C:\WINDOWS\system32\userinit.exe
Scrnsave.exe
logonui.exe

[ИТАР-ТАСС]

Все выполнил, как Вы сказали. Пофиксил. Перезагрузил - и УРА появился рабочий стол))))))
Сделал логи. Посмотрите пожалуйста.

arm32reg AVZ не нашел.