Здравствуйте.
Столкнулся с вот какой проблемой:
Компьютер, под управлением Windows XP Home SP3 обновления ... не знаю, может какие и стоят.
Симптомы:
Не дает работать в интернете, Firefox(верисию не знаю), при посещении страниц антивирусов (авира, пр) завершает свою работу.
из файла hosts удалено все кроме 127.0.0.1
Не запускает диспетчер задач. Верней запускается, но тут же подавляется.
Существующий антивирус в системе Avira так же подавляется в момент принудительного запуска.
Запуск полиморфного AVZ приводит к аварийному выключению системы.
DrWeb CureIt скачать не удалось.
Единственный лог, который я смогу пока предоставить - HiJackThis, но чуть позже.
hijackthis от emisoftware так же подавляется. a-squared free подавляется.
Запускается сканирование McAfee Stinger выполнения не дождался. Попробую позже запустить еще раз.
Удалось запустить malware bytes. Найдено 12 инфицированных объектов, удалено.
Теперь к интересному.
После перезагрузки от Malware нету рабочего стола. Казалось бы надо запустить explorer а не получается. Диспетчер подавляется.
Забрал ПК пока к себе домой.
Что имеется в наличии:
Станция под управлением Linux Mint (Ubuntu)
Зараженный ПК
Backup файлов я могу сделать в корпоративную сеть.
На рабочем месте так же Linux.
До запуска LiveCD еще не дошел.
Из вариантов LiveCD DrWeb, KAV LiveCD, Avira RescueCD под вопросом, Emirsoft Live Flash попробую.
Вопрос: как мне снять логи?
Что еще загрузить/запустить?

Казалось бы надо запустить explorer а не получается. Диспетчер подавляется.
Забрал ПК пока к себе домой. »
1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit этоC:\WINDOWS\system32\userinit.exe,Если отличается - также исправить, запятую после строки писать обязательно.

А также посмотри и напиши значение ключей Userinit и AppInit_DLLs

Удалось запустить malware bytes. Найдено 12 инфицированных объектов, удалено »Может быть из-за этого удаления был удалён explorer.exe или нарушена запись в реестре. Выше писал.

Вопрос: как мне снять логи?
Что еще загрузить/запустить? »Сначала проведи вышеописаные манипуляции, потом будем решать дальше.

Можно скачать утилиты, записав их на флешку, потом попробовать запустить с флешки. Полиморфная версия AVZ [31.03.2010] (http://gjf.hotbox.ru/mink.pif) и RSIT
• Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

По порядку.
Утром когда принес HDD от зараженного ПК, запустил проверку ClamAV'ом. Он нашел мне 1 инфекцию, к сожалению, за неимением времени, не прочел, что это был за файл.
Однако! Вернув HDD на место, система загрузилась, разрешила работать с диспетчером задач, запустить AVZ, HiJackThis и т.д.
Просканировал a-squared free, предварительно отчистив Tempы, убил пару "левых" профиля LocalService, NetworkService.
Должен быть такой профиль Defaul User ?
Просканировал, удалил все что не понравилось, ИМХО несколько зараз он нашел.
Т.к. система начала загружаться, манипуляций с кустами не проводил.
В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Было 2 Winlogon. Один с папками вложениями, другой без и с 2мя параметрами. В общем удалил, чтобы не смущал.
Userinit поправил. (эта строка меня еще при сканировании HJS смущала, но почему-то не фиксилась)
AppInit_DLLs в Winlogon'е не нашел. Нашел в \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\win.ini\Windows
AppInit_DLLs : " SYS:Microsoft\Windows NT\CurrentVersion\Windows " (без кавычек естественно)
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs : " C:\DOCUME~1\USER\LOCALS~1\Temp\gi.dll " (без кавычек естественно) (значение, как явно неправильное, удалил) Была такая же запись в реестре HJT, удалил.

Удалось запустить malware bytes. Найдено 12 инфицированных объектов, удалено »
Нет, реестр нарушен не был, explorer не трогал. Я предварительно посмотрел, что он нашел, это были трояны и еще что-то. Но точно не эксполорер. (Да и пути не соответствовали)
CureIt так скачать и не удалось.
Прикладываю логи. (Сделать точку восстановления не удалось. Ссылается на запрет групповыми политиками, и просит обратиться к администратору домена.)

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\gi.dll','');
DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\gi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Проверьте доступ к антивирусным сайтам.

Сделайте новые логи. Используйте обычный AVZ (не забудьте обновить его базы)

Выполните дополнительно
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Файл на проверку отправил, результаты будут позже.
Запустил AVPTool, он вычистил еще немного гадости из Windows\system32
Прилагаю новые лог. файлы.

Доступ к сайтам появился?

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up

thyrex, доступ к сайтам появился.
Combofix удалил, OTCleanIt выполнил.
С восстановлением
c:\windows\System32\sfcfiles.dll »
пока сложно. "Домашний" образ надо искать, сервис пак накатывать.
Восстановление сильно критично или может чуток потерпеть?
Хочу установить критические обновления по май, это как-нибудь скажется на sfcfiles.dll ?

P.S. приложил файл отчет после сканирования Malware Bytes (к первому посту)

Файл во вложении. Обновления безусловно нужно установить

В обед буду восстанавливать файл и устанавливать обновления.
Контрольные логи к ответу прикладывать?
Какие-нибудь еще действия от меня требуются?

убил пару "левых" профиля LocalService, NetworkService.
Должен быть такой профиль Defaul User ? »Это не левые профили!!!! :teeth: Они присутствуют на всех системах, то что в линуксе их нет, не значит что и в Windows их не должно быть. :)

lxa85, Выполни ещё этот скрипт.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\aH37sgk.exe','');
QuarantineFile('C:\WINDOWS\system32\YS4Qo2Q.exe','');
QuarantineFile('C:\WINDOWS\system32\0jpSlUk.exe','');
QuarantineFile('C:\WINDOWS\system32\e0BBQEi.exe','');
QuarantineFile('C:\WINDOWS\system32\lPCu5VO.exe','');
QuarantineFile('C:\WINDOWS\system32\AkCR9mt.exe','');
QuarantineFile('C:\WINDOWS\system32\JuwoJGd.exe','');
QuarantineFile('C:\WINDOWS\system32\KzGRykE.exe','');
QuarantineFile('C:\WINDOWS\system32\SD3QsKM.exe','');
DeleteFile('C:\WINDOWS\system32\aH37sgk.exe');
DeleteFile('C:\WINDOWS\system32\YS4Qo2Q.exe');
DeleteFile('C:\WINDOWS\system32\0jpSlUk.exe');
DeleteFile('C:\WINDOWS\system32\e0BBQEi.exe');
DeleteFile('C:\WINDOWS\system32\lPCu5VO.exe');
DeleteFile('C:\WINDOWS\system32\AkCR9mt.exe');
DeleteFile('C:\WINDOWS\system32\JuwoJGd.exe');
DeleteFile('C:\WINDOWS\system32\KzGRykE.exe');
DeleteFile('C:\WINDOWS\system32\SD3QsKM.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Drongo, поздно! :) Прокомпостировано!
У меня много бОльший опыт работы с профессиональной версией XP. И как-то устоялось мнение, что какой пользователь есть, такая папка и существует в D&S.
Тем более, что в них содержались данные. Т.е. шла какая-то работа. Уже потом мне попалась группа пользователей с такими же названиями и я призадумался.
Гугл с наскока ответа не дал. (BTW Что это за профили то?)
Более того, ОС вполне загружается и пока явных проблем не видно.
Drongo, скажи лучше, проблемы, судя по логам, есть? Могу я ПК вернуть хозяйке? А то я в несколько "подвешенном" состоянии нахожусь.
Профили, если надо, должны будут восстановиться сами, чай не дети, пусть ОС сама о себе заботиться.

Скрипт AVZ. »
Подобные файлы мне нашел и удалил AVPTool.
Drongo, у меня сейчас устанавливаются заплатки по май, давай я ближе к 17.30-18 по Москве выложу новые контрольные логи, И тогда уже будет ясно, что есть и чего нет?

Drongo, скажи лучше, проблемы, судя по логам, есть? »Да вроде нет, а те файлы что я дал на удаление в скрипте, это дохлый балласт, связей с этими файлами нет. А они запускались посредством ключа Userinit, вот что ты говорилUserinit поправил. (эта строка меня еще при сканировании HJS смущала, но почему-то не фиксилась) »

давай я ближе к 17.30-18 по Москве выложу новые контрольные логи, И тогда уже будет ясно, что есть и чего нет? »Вот, точно. Обязательно добавь лог RSIT.

(BTW Что это за профили то?) »Не смогу объяснить сам, но точно знаю, что они есть и на вполне законных правах там существуют. Ты с таким вопросом лучше в раздел осей загляни. :)

Вот и наступило долгожданное попозже(с)
Вроде ничего не забыл.

lxa85, Вроде чисто, но эти два файла

C:\DDR\Setup.exe
c:\windows\system32\winlogon.exeпроверить:
1. http://www.virustotal.com/ru/
2. http://virusscan.jotti.org/ru
3. http://www.virscan.org/

Ссылки проверок опубликуй здесь. Если будут вредные, первый файл удалить, второй заменить из дистрибутива, но winlogon.exe не удалять. Это системный файл.