Помогите побороться с непонятными проявлениями после уничтожения троян ransom

[dthnth]

Добрый день.

схватили trojan ransom, блокировавший доступ к интернету. стоял антивирус касперского 2009, винт вылечили на другой машине, поставили kis2009, в настоящий момент обновляется.

Однако остались непонятные штуки, которые напрягают.

1. в system32 возникает откуда то файл av_md.exe и прописывается в реестре в автозапуск

2. также в автозапуск прописывается regedit.exe ,

неоднократное ручное удаление - не помогает.

3. в процессах висит cmd.exe и грузит проц на 50-60 процентов, несмотря на то что при этом cmd не запущен.

Помогите побороться с этой пакостью.

 

прилагаю логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 4 декабря, 2009 пользователем dthnth

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\urlmon.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\Program Files\Internet Explorer\urlmon.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[dthnth]

Здравствуйте!

 

скрипты выполнила, cmd шка из процессов исчезла, svchost больше слав абогу процессор не грузит на 100, и наконецто нормально обновился kis , однако в реестре все равно regedit в автозагрузке и не удаляется. Карантин отправлен в newvirus@kaspersky.com.

 

вот новые логи:

 

 

 

просканировалась kis-ом

 

07.12.2009 12:31:13 Удалено троянская программа Trojan.Win32.Inject.alwr C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe

07.12.2009 12:40:20 Удалено троянская программа Backdoor.Win32.HareBot.alo C:\WINDOWS\system32\config\systemprofile\av_md.exe

07.12.2009 12:45:50 Удалено троянская программа Backdoor.Win32.HareBot.alo C:\WINDOWS\Temp\~TME.tmp

 

перед этим av_md садился в system32. удалив его руками, создала av_md.exe в этом каталоге только для чтения с 0-м размером, так он , нигадяй!, залез теперь системпрофиле, жесть какая то )

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Пофиксите в HiJack

 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Сделайте новые логи