Не загружается рабочий стол и панель задач
 

Привет, коллеги :)

Симптом в названии темы. Кроме того, не запускаются стандартные приложения из диспетчера задач (ком. строку запустил, удерживая CTRL + Новая задача). Первоначальная инспекция выявила, что в разделе реестра winlogon для параметра userinit помимо explorer прописан system32\sdra64.exe. Дальше смотреть не стал, запустил Cureit. Помимо заражения проблема может усугубляться тем, что юзер самостоятельно проверил систему с помощью AVZ, а увидев уведомление о трояне, под корень снес в папке Windows какую-то папку :) Но с этим будем разбираться после проверки.

Спасибо за внимание к проблеме!

Приветствую.
C помощью ATF Cleaner почистить временные файлы.

В HijackThis выделить значения и нажать Fix Checked
В AVZ выполнить скрипт
После перезагрузки выполнить еще один
Карантин в приват.

Назначенное задание C:\WINDOWS\system32\time.cmd известно?
Странно наличие Outpost вместо антивируса. Лучше бы наоборот.

Vadikan, Severny, приветствую.
Severny, сорри, но я пока убрал из скрипта, ввиду спорного вопроса о зловрдности файлов
DeleteService('MHNDRV');
DeleteService('symlcbrd');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys');
DeleteFile('c:\windows\ehome\mcrdsvc.exe');
добавил в скрипт карантин этих файлов и ExecuteRepair(9);
C:\WINDOWS\system32\DRIVERS\mhndrv.sys - http://www.virustotal.com/analisis/9...62d0f99d94838a
symlcbrd.sys - http://www.virustotal.com/analisis/3...e933d52485da2d
Pili.

Дополню. На время скрипта Outpost лучше отключить, временно можно включить брандмауэр windows.
В логах остатки от Symantec, можно удалить утилитой Norton Removal Tool, AGAVA AntiSpy не очень полезен, можно удалить. Рекомендую обновить Adobe Acrobat и Java (по логам jre1.6.0_03)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Рекомендую проверить систему дополнительно с помощью Malwarebytes' Anti-Malware
Скачайте MВАМ здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Спасибо за ответы! Попробую ответить по нескольким пунктам, пока выполняю инструкции :)

Установлена XP MCE ОЕМ. Поэтому MHNDRV, наверное, все-таки системная служба. Это же касается mcrdsvc.exe. Мне еще предстоит найти соотв. установочный диск для проверки sfc... А symlcbrd.sys - скорее всего остатки Symantec.

Да, оно безвредно.

Конечно, но ноут же не мой - я могу только порекомендовать, и я именно это и говорил :) Был NOD, но его снесли по какой-то там причине.

До графического интерфейса программы мне не добраться, а служба не выключилась в обычном режиме (перезагружаться поленился). Я попробую отключить ее в безопасном режиме в след. раз перед проверкой.

По поводу MBAM вопрос. Можно ли обновить базы на одном компьютере, а потом перенести программу на флэшке на зараженный? Мне кажется, я потеряю больше времени, пытаясь подключить ноут к сети. В нем нет служб Workstation и TCP/IP NetBIOS Helper Service - это только навскидку заметил, в логах полно ошибок о запуске служб и загрузке драйверов. А решать эти вопросы, наверное, стоит после того, как заражения будут устранены.

Vadikan, по поводу отключения Outpost - это для того чтобы AVZ отработал корректно - самозащита Outpost хорошая, но попробовать можно
МВАМ обновить можно - downloading the update MBAM
mhndrv.sys - на VI что-то часто удаляют, по 2458497d.sys - гугл ничего не знает, цифровые подписи у файлов есть? В общем файлы из карантина можно в вирлаб на проверку, например на newvirus@kaspersky.com в архиве с паролем virus и ещё можно в вирлаб DrWeb, что-то из файлов, например 2458497d.sys, можно заранее проверить virustotal.com

Прикрепляю логи AVZ и HJT. Проверкой MBAM займусь попозже, она неспешная. Рабочий стол появился, как и следовало ожидать :) Посмотрим, что там еще порушилось попутно...

Знать бы еще, какой из продуктов тут стоял... В Program Files чисто. Наверное, можно удалить скриптом.

Да нет его по указанному адресу, видимо удален уже.

Java удалю руками.

ATF странный рез-т выдал - мол удалил 35,828 mb - я испугался даже :)

Карантин отправил на оба адреса.
Спасибо!

upd - ответ от касперского

upd2 - лог MBAM

Я не решился удалять ряд файлов без дополнительного исследования.

Vadikan, по логу AVZ, интересует файл C:\WINDOWS\System32\drivers\2458497d.sys - в карантин не попал, возможно от AVPTool и прошел по базе безопасных, но на вския случай можно поискать вручную (можно через FAR или AVZ - проверить на virustotal.com и можно в вирлаб в архиве с паролем virus.
По логу MBAM
Можно удалить, это вероятно остатки от C:\Program Files\Microsoft Common\svchost.exe
тоже удалить, остальные файлы sfxzm... и pfxzmt... можно проверить по VT и вирлаб.
pfxzmtsmt.dll, sfxzmtsmt.dll и остальные, по symantec например, от Trojan.Mespam, поэтому думаю можно удалять.

По поводу удаления остатков Symantec, AVZ возможно не все показывает, т.к. часть файлов может быть в базе безопасных, к тому эе драйвер symlcbrd - работает, часть от Norton Antivirus, лучше чистить утилитой, но если хотите, можно почистить скриптом
Тогда можно пофиксить
Если C:\WINDOWS\System32\drivers\2458497d.sys окажется чист, то по логам avz и hjt придраться больше не к чему и если проблемы какие-то остались, можно провериться другими утилитами.

Спасибо за помощь!

Его не видно в файловых менеджерах.

Я убрал их. На VT не детектируются, но это не важно - это не системные файлы явно.

Интересно, что ESET при установке обнаруживает AVAST, но я не вижу его на диске и в HKLM\Software.

Vadikan, пожалуйста )
Драйвер мог быть от AVPTool (если использовался), если удален, то и драйвера уже может не быть в системе. Можно поискать через AVZ-сервис-поиск файлов.
Можно пройтись avast-uninstall-utility, ещё раз рекомендую также Norton Removal Tool
Другими утилитами проверять будем?

Не нашелся.

Он нашел и удалил, хотя я папку установки не указывал. Будем надеяться, что не обманул :)

Да-да, я сделал это уже.

Не думаю, что есть необходимость. Заражения устранены. Я восстановил работу служб и компонентов, оптимизировал систему, установил антивирус - все должно быть ок. Я погоняю ее еще денек и посмотрю. А тему помечаю решенной, спасибо большое!

Vadikan, пожалуйста )
Ещё рекомендация:
можно тоже отключить. Другие рекомендации по безопасности давать не буду, пользователей вы проконсультируете по этим вопросам лучше )
Чистого интернета! :)

Да, я это сделал сам уже, раз у них autorun.inf был замечен :)

Спасибо!