Нужно убрать следы вируса-вымогателя

[kryukov]

Я в командировке был. Брат работал за компом, в Инете. Говорит, выскочило окно - отправить смс и т.п. Он с перепугу комп выключил. Так он рассказал. Может быть что-то скрывает.

А после следующих включений Эксплорер не открывает никаких страниц

Система: Windows XP Pro. Ставил знакомый. Анитивирь купленный: ESET NOD32. Интернет получаю через ADSL. Поставил Оперу - страницы как-то открывает, но искореженные.

При загрузке вылетает ДОС-окошко - chkntfs (это есть в автозагрузке), приветствие NOD висит, но в трее иконка не появляется (Видно на двух прицепленных картинках, что твориться при загрузке - screen1, screen2).

Зашел в сберегающий режим, запустил CureIt, экспресс-сканирование.
Вот результат сканирования:

Код:

8e29b58e.exe;C:\WINDOWS\system32;Trojan.MulDrop.64715;Неизлечим.Перемещен.;
bc9f0d27.exe;C:\WINDOWS\system32;Trojan.MulDrop.64715;Неизлечим.Перемещен.;
nt554D.tmp.exe;C:\WINDOWS\temp;Trojan.Packed.21164;Удален.;
41983666-12886095\JavaUpdateManager.class;C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\38\41983666-12886095;Java.Downloader.59;;
41983666-12886095;C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\38;Архив содержит инфицированные объекты;;
jar_cache5510893516960999240.tmp\MessageManager.class;C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache5510893516960999240.tmp;Exploit.Java.162;;
jar_cache5510893516960999240.tmp;C:\Documents and Settings\Admin\Local Settings\Temp;Архив содержит инфицированные объекты;;
e4sn1kfq2l5hr9b[1].htm;C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\IO47G8TI;Trojan.Inject.12637;Неизлечим.Перемещен.;
e4sn1kfq2l5hr9b[1].htm;C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\P7L4H3Y5;Trojan.Inject.12637;Неизлечим.Перемещен.;

Решил обратиться сюда. Начал с проверки системного раздела CureIt, но уже тотальное сканирование. Он сканирует-сканирует, но через какое-то время - синий экран и STOP-ошибка. Загрузился с LiveCD, ERD-коммандер. Проверил оттуда системный раздел. Нашлось ещё вирусов.
Ну, и дальше проделал всё по "Правилам".
Правда, когда AVZ запускал для "лечения..." забыл Эксплорер запустить. Но лог получил. Решил ещё раз это же сделать, но уже с запущенным Эксплорером. Получилось два журнала "virusinfo_syscure.zip". Не знаю, какой прицепить, прицеплю первый (который без Эксплорера).
В принципе, сейчас все нормально (видимо, когда CureIt с LiveCD прогнал и это помогло).
Но хочется большей уверенности, что в системе все чисто! Заранее спасибо.

Ещё спросить хочу, стоит ли сделать "sfc /scannow"?
Или переустановку системы?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\ufocqzs.exe','');
 QuarantineFile('c:\windows\system32\hskoffr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wpttmwn.dll','');
 DeleteFile('C:\WINDOWS\system32\wpttmwn.dll');
 DeleteFile('c:\windows\system32\hskoffr.exe');
 DeleteFile('c:\windows\system32\ufocqzs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог ComboFix

[kryukov]

Сделал всё. Правда, ночь уже и глючу ещё больше
Нарушил порядок получения логов. Сначала скрипт выполнил. А потом нужно было стандартные 3 лога собрать, а я ComboFix запустил. Только потом стандартные логи собрал.

Правда вот не смог найти "ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы"

Поэтому прицепил карантин "virus.zip" вместе с логами (самый первый).
Извините, если не прав, готов переделать.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask('c:\program files\Common Files\23dd1a9da', '*.*', true);
 DeleteDirectory('c:\program files\Common Files\23dd1a9da');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 RebootWindows(true);
end.

что с проблемой?

[kryukov]

> что с проблемой?
Да все вроде в порядке.
Я просто думал, может в системе какие крючки остались. Чтобы уж до конца пролечить.

Я не пойму, вот антивирус ESET NOD32 почему пропустил эту заразу???

[kryukov]

- Выполните скрипт в AVZ

Выполнил.

Как-то странно не удаляется ComboFix
Выполнил:
Combofix /Uninstall
OTCleanIt + Clean up
В папке C:\Qoobox осталась одна только папка - BackEnv.
Но войти в нее невозможно. Система пишет, что ее кто-то держит.

[kryukov]

Может быть подскажете, почему нельзя удалить C:\Qoobox\BackEnv?

И почему ESET NOD32 пропустил вирус?

Добавлено через 5 часов 14 минут

Может быть подскажете, почему нельзя удалить C:\Qoobox\BackEnv?

И почему ESET NOD32 пропустил вирус?

Похоже я сам решил эти вопросы.
BackEnv я удалил прогой Unlocker. Правда, не знаю, может чревато. Но бэкап системного раздела имеется.
По второй теме. У меня Винда не обновляется. В такой ситуации NOD32 тоже видать бессилен. Сам предупредил, что обновление отключено и карсным цветом покрасился - берегись,мол.

[thyrex]

Сделайте лог полного сканирования МВАМ

[kryukov]

Сделайте лог полного сканирования МВАМ

Сделал.
Что делать с найденными зловредами?
Можно удалить саму прогу МВАМ с компа?

[thyrex]

Ничего подозрительного

Добавлено через 13 секунд

МВАМ можно удалить

[kryukov]

Спасибо за помощь!!!