Добрый день.
У меня система Win XP Home SP3.
Со вчерашнего дня процесс Winlogon.exe начал съедать всё процессорное время. Штатный антивирус Symantec Endpoint Protection Small Business Edition ничего не видит. Однако, на лицо присутствие вредоносного кода:
- Firefox вылетает при запуске с crash report'om
- Опера не дает сохранить файлы (ошибка при создании диалога выбора файлов)
- Невозможно зайти на антивирусные сайты (Опера мгновенно закрывается. Иногда перезапускается explorer)
- Запускаются и тут же потухают: AVZ, HijackThis, ComboFix, mbam (и в защищенном режиме тоже)

CurIt в защищенном режиме ничего не нашел.

Никаких логов приложить не могу, т.к. не могу запустить программы. Что делать?

нажмите пуск - выполнить в обзоре найдите AVZ , выберете его, далее в строке допишите или скопируйте/вставьте (через пробел) AM=Y и нажмите ок, так должно запуститься. Подготовьте логи по стандартным скриптам 2 и 3 и вложите в следующее сообщение

Не срабатывает. В ПроцессЭксплорере наблюдаю, как появляется строчка с программой, и спустя доли секунды закрывается.

На другой машине запустил с таким же ключем, и заметил, что хоть в окошке заголовок пропал, ProceccExplorer все равно в колонке Description показывает "Антивирусная утилита AVZ", а в колонке "Company name" - "Лаборатория Касперского" (см. скриншот со здоровой машины). Вероятно, по этим признакам гадость и вычисляет её.

Удалось, не выходя из сеанса, войти под другой учетной записью на этом же компе. Под этим вторым юзером AVZ запустился.

Логи не могу загрузить:
virusinfo_syscheck.zip:
Общая квота форума превышена на 4.5 Kb. Пожалуйста, сообщите об этом администрации.
virusinfo_syscure.zip:
Общая квота форума превышена на 9.7 Kb. Пожалуйста, сообщите об этом администрации.

закиньте их на файлообменник, ссылку сюда

http://dl.dropbox.com/u/17547888/virusinfo_syscheck.zip
http://dl.dropbox.com/u/17547888/virusinfo_syscure.zip

судя по всему логи ваши с виртуальной машины...это так?
логи надо переделать с операционной системы

пробуем загрузиться в безопасном режиме, для этого при загрузке нажимаем клавишу F8 и выбираем безопасный режим (safe mode) и жмем enter далее
предварительно вам надо будет на флэшку скачать AVZ там же распаковать, запустить и обновить базы. вставляем флэшку в пк, запускаем комп в безопасном режиме и делаем нужные нам логи
как это делать запускаем
1.avz выбираем файл, далее, стандартные скрипты далее скрипт номер1 жмем выполнить отмеченные операции
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол. далее пуск
Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

нет, не с виртуальной.
У меня на машине заведены два пользователя (по крайней мере). Под одним (под которым я обычно работаю) наблюдаются вирусные эффекты (не стартуют антивирусные программы, закрываются сайты). Под этим пользователем запустить AVZ не удается даже с ключом AM=Y.

Но WinXP позволяет войти под другим пользователем, не выходя из первого. Под вторым юзером я и сделал логи. Там AVZ запустилась.

а я вижу по логу что это вы делали с виртуалки

это то,что я вижу по логам

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\apppatch\idhtkes.dat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-73586283-602162358-682003330-1004\Dc68.exe','');
DeleteFile('c:\windows\apppatch\idhtkes.dat');
DeleteFile('C:\RECYCLER\S-1-5-21-73586283-602162358-682003330-1004\Dc68.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Сделайте повторные логи AVZ (с обновленными базами!)+ RSIR

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

В Safe Mode тоже не запускается AVZ. Кроме того, в безопасном режиме не удается одновременно залогиниться двумя пользователями. Под единственным пользователем вирь и запускается, блокируя AVZ.

скрипт выполнить можете в нормальном режиме? ведь как то логи вы собрали...

Выполнил под вторым юзером. Всё прошло хорошо! Карантин отправил. Процессор стал остывать, вентилятор не гудит :-)
Спасибо!

Что дальше? По написанному сценарию? ХайДжек и прочее?

Что дальше? По написанному сценарию? »
точно так)

Логи AVZ:
virusinfo_syscheck.zip (http://dl.dropbox.com/u/17547888/1/virusinfo_syscheck.zip)
virusinfo_syscure.zip (http://dl.dropbox.com/u/17547888/1/virusinfo_syscure.zip)
virusinfo_cure.zip (http://dl.dropbox.com/u/17547888/1/virusinfo_cure.zip)

Логи RSIT:
rsit.zip (http://dl.dropbox.com/u/17547888/1/rsit.zip)

Логи MalWare будут позже (долго работает).

Логи MalWare будут позже (долго работает). »
пусть работает-все на пользу..
логи гляну и отвечу

virusinfo_cure.zip -это убираем..карантин я сюда не запрашивала

файл проверить на http://www.virustotal.com

c:\program files\10-страйк инвентаризация компьютеров\networkinventoryexplorer.exe.bak
C:\Documents and Settings\aleks\Мои документы\Загрузки\1_ft-tx2300-2200-windrv-whql_v2.06.0.318.zip



ссылку сюда на проверку

C:\WINDOWS\tasks\JkDefragTask.cmd в планировщиках задач ваше?

папочку C:\32788R22FWJFW ищем, смотрим содержимое-если не ваше-удаляем

ну и прогоним животных с монитора, думается, сами ими не развлекаетесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
DeleteFile('C:\Program Files\VPets\VPets.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки отпишитесь о самочувствии

Результат проверки MalWare (http://dl.dropbox.com/u/17547888/1/mbam-log-2011-03-11%20%2817-43-53%29.txt)

Проверка на Virustotal:

Файл 1 (http://www.virustotal.com/file-scan/report.html?id=18fb1067241839f94de471f2f700452e4560666dde7f061e9d60a933c9f18d69-1299858577)
Файл 2 (http://www.virustotal.com/file-scan/report.html?id=906254f38a02f24c651045101fa3c9a6febb22fe932a291eee3a1117e4b62868-1299858958)

C:\WINDOWS\tasks\JkDefragTask.cmd - остался от предыдущего юзера. Убрал из планировшщика

Папочку C:\32788R22FWJFW - прибил (создана вчера чем-то, не мной)

Животными не пользуюсь, сейчас прибью.

удаляем в mbam

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{eb339802-a6cf-4ab6-9d87-93f1d0045f84}\RP3\A0000372.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\dn\application data\fieryads.dat (Adware.FieryAds) -> No action taken

вот эти на ваше усмотрение. могут содержать трояны
c:\documents and settings\alex\рабочий стол\Dropbox\kan\fineprint_6.12\ENG\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\documents and settings\alex\рабочий стол\Dropbox\kan\fineprint_6.12\RU\Keygen.exe (RiskWare.Tool.CK) -> No action taken.

как самочувствие больного?