admin.exe
 

Имеется компьютер пораженный зловредами. Вроде как вылечился с помощью DrWeb CureIt . Вот протокол лечения:
admin.exe c:\documents and settings\admin Trojan.DownLoad.33158 Удален.
adsnwm.exe c:\windows\system32 BackDoor.IRC.Bot.114 Удален.
ahuip.dll c:\windows\system32 Trojan.Proxy.3363 Удален.
digiwet.dll c:\windows\system32 Trojan.Botnetlog.3 Удален.
acpi32.sys c:\windows\system32\drivers Trojan.DownLoad.37313 Удален.
amd64si.sys c:\windows\system32\drivers Trojan.NtRootKit.2943 Удален.
ati64si.sys c:\windows\system32\drivers Trojan.NtRootKit.2943 Удален.
fips32cup.sys c:\windows\system32\drivers Trojan.NtRootKit.2943 Удален.
i386si.sys c:\windows\system32\drivers Trojan.DownLoad.37313 Удален.
ksi32sk.sys c:\windows\system32\drivers Trojan.DownLoad.37313 Удален.
netsik.sys c:\windows\system32\drivers Trojan.NtRootKit.2943 Удален.
port135sik.sys c:\windows\system32\drivers Trojan.DownLoad.37313 Удален.
securentm.sys c:\windows\system32\drivers Trojan.DownLoad.37313 Удален.
systemntmi.sys c:\windows\system32\drivers Trojan.DownLoad.37313 Удален.

В данный момент DrWeb CureIt и AVZ ничего не находят, но перестали запускаться многие приложения. В их числе Agnitum Outpost, Avira Antivir и др
AVZ и HijackThis переименовал, они запустились.
Перелопатил множество различных конференций. Везде решение сводится к правке значений в ветках:
HKEY_CLASSES_ROOT\exefile\shell\open\command
и еще
HKLM\SOFTWARE\Classes\exefile\shell\open\command
Реестр смотрю с помощью TuneUpPortable так как regedit.exe не запускается.
В данный момент у меня значения там соответствуют значениям по умолчанию. Как в файле, который встречается в советах.
http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip
Как быть?
P.S. еще интересно то, что не запускаются далеко не все файлы *.ехе. Например Opera, firefox и the bat запускаются.

Irbis, у Вас какой-то интересный лог. Вы его с Windows PE делали что ли?

Irbis, пожалуйста, переделайте логи. Запустите компьютер в обычном режиме, перед началом работы AVZ обязательно обновите антивирусные базы. Попутно проверьте на http://www.virustotal.com/ru/ файл C:\WINDOWS\innounp.exe

Irbis, Здравствуйте. Судя по логам cureit и HJT, система у вас установлена в c:\windows\, по логам AVZ - X:\BART\system32\
X - что за диск? Логи AVZ делались не на самой зараженной системе? Если так, логи переделайте, запустив AVZ в системе, которую требуется лечить.

логи переделал.
Нашел статью в которой написано что расширения любого типа файлов может быть прописано в одной из следующих веток реестра:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xxx\OpenWithList
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xxx \OpenWithProgIDs
• HKEY_CLASSES_ROOT\.xxx\ OpenWithList
• HKEY_CLASSES_ROOT\.xxx\ OpenWithProgIDs
• HKEY_CLASSES_ROOT\SystemFileAssociations\PType\OpenWithList
Просмотре все ветки на зараженном компьютере ехе нигде не объявлено, потом посмотрел на рабочем ехе тоже нигде не объявлено!!!

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
В реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
поменяйте параметр ImagePath %fystemroot%\system32\svchost.exe на %systemroot%\system32\svchost.exe
Можно твиком реестра
Если не получится (веткы реестра заблокированы), верните права на данные ветки или скачайте и запустите IceSword
Во вкладке Registry найдите указанные ветки реестра и поменяйте везде параметр ImagePath %fystemroot%\system32\svchost.exe на %systemroot%\system32\svchost.exe
См. Как искать и удалять ключи реестра с помощью IceSword

Сделайте лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) в обычном режиме, не забудьте включить AVZM, можете использовать полиморфный AVZ

Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов
• Sections
• IAT/EAT
• Show all

Тема двойник
Irbis, выбирайте где будете проходить лечение, на VI или здесь, одновременно и там и здесь нельзя.

Огромное спасибо!
Проблема с запуском программ похоже решилась.
Но возникло что-то новое связанное с запуском gmer :( во-первых я не совсем понял gmer запускать в «безопасном режиме» или в «нормальном»? если в «нормальном» то как выгрузить все процессы относящиеся к avira antivir и outpost firewall? А при запуске в безопасном режиме выбрасывает в синий экран с ошибкой:
Technical information
Stop: 0x0000007F (0x0000000D, 0x00000000, 0x00000000, 0x00000000)
Begining dump of physical memory
Physical memory dump complete

Irbis, Новые логи сделали не полиморфным AVZ, по этому логу ничего плохого не вижу.
В нормальном. В Avira достаточно отключить real-time защиту (Guard), outpost тоже временно отключить.
По BSOD - минидамп можете выложить в разделе Устранение критических ошибок Windows в теме 0x0000007F

Если запуск gmer будет также приводить к BSOD (в нормальном режиме), скачайте RootRepeal, распакуйте и запустите. Перейдите на вкладку "Report" и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите диск С. После окончания исследования системы нажмите на кнопку Save Report, сохраните лог и вложите в сообщение.

Переделал логи.

Файл C:\WINDOWS\System32\user32.dll у вас изменен, результат проверки VT, а также часть системных файлов, возможно у вас сборка или результат установки VistaDriveIcon (заменяет часть сист. файлов), рекомендую отправить файл на проверку в вирлаб, т.к. вы используете Avira - на virus@free-av.com ; virus_malware@avira.com (отправлять в запароленном архиве, указав пароль в письме) и также можете отправить на newvirus@kaspersky.com, если файл окажутся чистыми, то по логам больше ничего плохого, если проблема ещё осталась, деинсталлируйте VistaDriveIcon, выполните восстановление системных файлов и далее можем продолжить проверку другими утилитами.

да. ZverCD

это в связи с 0x0000007F?

это sfc /scannow?

Если у вас не лицензионная версия ОС, см. Правила раздела п.7.
По проблемам со сборками - к автору сборки.
Нет, это связано с заменой системных файлов.
Да, не забудьте после этого установить официальный WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com\

Вот здесь http://forum.oszone.net/post-1130999.html#post1130999 посмотрели мой отчет из RootRepeal и посоветовали прикрепить данный отчет здесь.

Irbis, по логу RootReperal ничего плохого. Вы его прикрепили, потому что у вас ещё какие-то проблемы, связанные с вирусами есть?
Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd
Или сохраните текст ниже как gmer_del.bat
И запустите gmer_del.bat

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов и перезагрузите компьютер или выполните скрипт

Pili, Еще раз огромное спасибо! У меня, похоже, все устаканилось. Если что, уж не обессудьте, к Вам! :)
Если добавлю [решено] в заголовок темы, позже писать в нее можно будет?

Irbis, Пожалуйста. Через 5 дней, если в теме активности нет, она, как правило, закрывается. Для открытия темы вы можете обратиться в ПМ или создать новую тему (если появится новая проблема)

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus
Рекомендую также использовать McAfee SiteAdvisor
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ
Чистого вам интернета!