Беззащитный комп

[vgo]

Добрый день!

Знакомый попросил посмотреть его комп, на котором перестала загружаться система (WindowsXP). На компе не было действующего антивируса с актуальными базами.

Впоследствии, кстати, оказалось, что причина - техническая неисправность, но сначала грешил на вирусов, которых обнаружилось преизрядно, после удаления был блокирован Explorer, испорчен hosts. Ну и подозреваю, что там сидит еще глубоко законспирированная зараза.
Вроде, удалось сделать все по правилам.

Само собой, после окончания отлечивания, я поставлю все положенные фиксы, восьмой MSIE и антивирус.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0120704478-7505262915-294559714-6496\winmap.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
 QuarantineFile('C:\WINDOWS\system32\XP-0D344378.EXE','');
 QuarantineFile('C:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0207453.sys','');
 DeleteFile('C:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0207453.sys');
 DeleteFile('C:\WINDOWS\system32\XP-0D344378.EXE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-0D344378');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
 DeleteFile('C:\RECYCLER\S-1-5-21-0120704478-7505262915-294559714-6496\winmap.exe');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[vgo]

Файл сохранён как 100917_123228_quarantine_4c93279c54ac8.zip
Размер файла 8930
MD5 939356c03a7883f1d78256df863b9283

[vgo]

Сделано.

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Documents and Settings\NetworkService\lels.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\lpzccagf.sys','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Сделайте лог полного сканирования МВАМ

[vgo]

Файл сохранён как 100917_141509_quarantine2_4c933fad24060.zip
Размер файла 1202
MD5 127fd3577d01841089596bbaaa516a81

[vgo]

В самом деле, интересненькие файлы оно нашло.

[olejah]

Удалите в МВАМ -

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asocksrv (Backdoor.Tenga) -> No action taken.

Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\AKON\BYONC (Backdoor.Bot) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
E:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0210494.exe (Virus.Expiro) -> No action taken.
C:\AKON\BYONC\desKtOp.InI (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.

- Повторите лог

[vgo]

А руками можно? Я уже закрыл его, теперь заново скан запускать - это ж еще час

[olejah]

Как знаете, но лог всё равно повторять придётся.

[vgo]

Ок. Но это же будет еще лог и еще час ((

Добавлено через 1 час 26 минут

Сказывается конец рабочего дня - забыл сохранить лог от последнего сканирования. Так что придется на пальцах.
Руками удалось удалить все перечисленное, кроме файла E:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0210494.exe.
Последующее сканирование показало три уязвимости - этот файл (был удален руками) и два ключа реестра, которые не правили. Или все-таки четыре? Нет, ничего нового точно не было.
Ну, этот файл я удалил MBAMом, в логе было написано, что он благополучно удален.
Могу, конечно, еще разок сделать сканирование, но у меня тут толпа обновлений на комп рвется, сначала их поставлю.

Спасибо за помощь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\system volume information\\_restore{15f3181f-2dff-4adc-8ce2-dd1191f19e30}\\rp85\\a0207453.sys - Worm.Win32.AInfBot.ba ( DrWEB: Tool.TcpZ )