Выполнение проверки ПК
 

Здравствуйте.
Столкнулся с вот какой проблемой:
Компьютер, под управлением Windows XP Home SP3 обновления ... не знаю, может какие и стоят.
Симптомы:
Не дает работать в интернете, Firefox(верисию не знаю), при посещении страниц антивирусов (авира, пр) завершает свою работу.
из файла hosts удалено все кроме 127.0.0.1
Не запускает диспетчер задач. Верней запускается, но тут же подавляется.
Существующий антивирус в системе Avira так же подавляется в момент принудительного запуска.
Запуск полиморфного AVZ приводит к аварийному выключению системы.
DrWeb CureIt скачать не удалось.
Единственный лог, который я смогу пока предоставить - HiJackThis, но чуть позже.
hijackthis от emisoftware так же подавляется. a-squared free подавляется.
Запускается сканирование McAfee Stinger выполнения не дождался. Попробую позже запустить еще раз.
Удалось запустить malware bytes. Найдено 12 инфицированных объектов, удалено.
Теперь к интересному.
После перезагрузки от Malware нету рабочего стола. Казалось бы надо запустить explorer а не получается. Диспетчер подавляется.
Забрал ПК пока к себе домой.
Что имеется в наличии:
Станция под управлением Linux Mint (Ubuntu)
Зараженный ПК
Backup файлов я могу сделать в корпоративную сеть.
На рабочем месте так же Linux.
До запуска LiveCD еще не дошел.
Из вариантов LiveCD DrWeb, KAV LiveCD, Avira RescueCD под вопросом, Emirsoft Live Flash попробую.
Вопрос: как мне снять логи?
Что еще загрузить/запустить?

1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit этоЕсли отличается - также исправить, запятую после строки писать обязательно.

А также посмотри и напиши значение ключей Userinit и AppInit_DLLs

Может быть из-за этого удаления был удалён explorer.exe или нарушена запись в реестре. Выше писал.

Сначала проведи вышеописаные манипуляции, потом будем решать дальше.

Можно скачать утилиты, записав их на флешку, потом попробовать запустить с флешки. Полиморфная версия AVZ [31.03.2010] и RSIT
• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

По порядку.
Утром когда принес HDD от зараженного ПК, запустил проверку ClamAV'ом. Он нашел мне 1 инфекцию, к сожалению, за неимением времени, не прочел, что это был за файл.
Однако! Вернув HDD на место, система загрузилась, разрешила работать с диспетчером задач, запустить AVZ, HiJackThis и т.д.
Просканировал a-squared free, предварительно отчистив Tempы, убил пару "левых" профиля LocalService, NetworkService.
Должен быть такой профиль Defaul User ?
Просканировал, удалил все что не понравилось, ИМХО несколько зараз он нашел.
Т.к. система начала загружаться, манипуляций с кустами не проводил.
В Было 2 Winlogon. Один с папками вложениями, другой без и с 2мя параметрами. В общем удалил, чтобы не смущал.
Userinit поправил. (эта строка меня еще при сканировании HJS смущала, но почему-то не фиксилась)
AppInit_DLLs в Winlogon'е не нашел. Нашел в AppInit_DLLs : " SYS:Microsoft\Windows NT\CurrentVersion\Windows " (без кавычек естественно)
AppInit_DLLs : " C:\DOCUME~1\USER\LOCALS~1\Temp\gi.dll " (без кавычек естественно) (значение, как явно неправильное, удалил) Была такая же запись в реестре HJT, удалил.

Нет, реестр нарушен не был, explorer не трогал. Я предварительно посмотрел, что он нашел, это были трояны и еще что-то. Но точно не эксполорер. (Да и пути не соответствовали)
CureIt так скачать и не удалось.
Прикладываю логи. (Сделать точку восстановления не удалось. Ссылается на запрет групповыми политиками, и просит обратиться к администратору домена.)

Выполните скрипт в AVZ
Компьютер перезагрузится.

Выполните скрипт в AVZ
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Проверьте доступ к антивирусным сайтам.

Сделайте новые логи. Используйте обычный AVZ (не забудьте обновить его базы)

Выполните дополнительно
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Файл на проверку отправил, результаты будут позже.
Запустил AVPTool, он вычистил еще немного гадости из Windows\system32
Прилагаю новые лог. файлы.

Доступ к сайтам появился?

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

thyrex, доступ к сайтам появился.
Combofix удалил, OTCleanIt выполнил.
С восстановлением
пока сложно. "Домашний" образ надо искать, сервис пак накатывать.
Восстановление сильно критично или может чуток потерпеть?
Хочу установить критические обновления по май, это как-нибудь скажется на sfcfiles.dll ?

P.S. приложил файл отчет после сканирования Malware Bytes (к первому посту)

Файл во вложении. Обновления безусловно нужно установить

В обед буду восстанавливать файл и устанавливать обновления.
Контрольные логи к ответу прикладывать?
Какие-нибудь еще действия от меня требуются?

Это не левые профили!!!! :teeth: Они присутствуют на всех системах, то что в линуксе их нет, не значит что и в Windows их не должно быть. :)

lxa85, Выполни ещё этот скрипт.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Drongo, поздно! :) Прокомпостировано!
У меня много бОльший опыт работы с профессиональной версией XP. И как-то устоялось мнение, что какой пользователь есть, такая папка и существует в D&S.
Тем более, что в них содержались данные. Т.е. шла какая-то работа. Уже потом мне попалась группа пользователей с такими же названиями и я призадумался.
Гугл с наскока ответа не дал. (BTW Что это за профили то?)
Более того, ОС вполне загружается и пока явных проблем не видно.
Drongo, скажи лучше, проблемы, судя по логам, есть? Могу я ПК вернуть хозяйке? А то я в несколько "подвешенном" состоянии нахожусь.
Профили, если надо, должны будут восстановиться сами, чай не дети, пусть ОС сама о себе заботиться.

Подобные файлы мне нашел и удалил AVPTool.
Drongo, у меня сейчас устанавливаются заплатки по май, давай я ближе к 17.30-18 по Москве выложу новые контрольные логи, И тогда уже будет ясно, что есть и чего нет?

Да вроде нет, а те файлы что я дал на удаление в скрипте, это дохлый балласт, связей с этими файлами нет. А они запускались посредством ключа Userinit, вот что ты говорилВот, точно. Обязательно добавь лог RSIT.

Не смогу объяснить сам, но точно знаю, что они есть и на вполне законных правах там существуют. Ты с таким вопросом лучше в раздел осей загляни. :)

Вот и наступило долгожданное попозже(с)
Вроде ничего не забыл.

lxa85, Вроде чисто, но эти два файла

проверить:
1. http://www.virustotal.com/ru/
2. http://virusscan.jotti.org/ru
3. http://www.virscan.org/

Ссылки проверок опубликуй здесь. Если будут вредные, первый файл удалить, второй заменить из дистрибутива, но winlogon.exe не удалять. Это системный файл.