[Drongo]

Цитата lxa85:

Казалось бы надо запустить explorer а не получается. Диспетчер подавляется. Забрал ПК пока к себе домой. »

1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit это

Код:

C:\WINDOWS\system32\userinit.exe,

Если отличается - также исправить, запятую после строки писать обязательно.

А также посмотри и напиши значение ключей Userinit и AppInit_DLLs

Цитата lxa85:

Удалось запустить malware bytes. Найдено 12 инфицированных объектов, удалено »

Может быть из-за этого удаления был удалён explorer.exe или нарушена запись в реестре. Выше писал.

Цитата lxa85:

Вопрос: как мне снять логи? Что еще загрузить/запустить? »

Сначала проведи вышеописаные манипуляции, потом будем решать дальше.

Можно скачать утилиты, записав их на флешку, потом попробовать запустить с флешки. Полиморфная версия AVZ [31.03.2010] и RSIT
• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[lxa85]

По порядку.
Утром когда принес HDD от зараженного ПК, запустил проверку ClamAV'ом. Он нашел мне 1 инфекцию, к сожалению, за неимением времени, не прочел, что это был за файл.
Однако! Вернув HDD на место, система загрузилась, разрешила работать с диспетчером задач, запустить AVZ, HiJackThis и т.д.
Просканировал a-squared free, предварительно отчистив Tempы, убил пару "левых" профиля LocalService, NetworkService.
Должен быть такой профиль Defaul User ?
Просканировал, удалил все что не понравилось, ИМХО несколько зараз он нашел.
Т.к. система начала загружаться, манипуляций с кустами не проводил.
В

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Было 2 Winlogon. Один с папками вложениями, другой без и с 2мя параметрами. В общем удалил, чтобы не смущал.
Userinit поправил. (эта строка меня еще при сканировании HJS смущала, но почему-то не фиксилась)
AppInit_DLLs в Winlogon'е не нашел. Нашел в

Код:

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\win.ini\Windows

AppInit_DLLs : " SYS:Microsoft\Windows NT\CurrentVersion\Windows " (без кавычек естественно)

Код:

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs : " C:\DOCUME~1\USER\LOCALS~1\Temp\gi.dll " (без кавычек естественно) (значение, как явно неправильное, удалил) Была такая же запись в реестре HJT, удалил.

Цитата Drongo:

Удалось запустить malware bytes. Найдено 12 инфицированных объектов, удалено »

Нет, реестр нарушен не был, explorer не трогал. Я предварительно посмотрел, что он нашел, это были трояны и еще что-то. Но точно не эксполорер. (Да и пути не соответствовали)
CureIt так скачать и не удалось.
Прикладываю логи. (Сделать точку восстановления не удалось. Ссылается на запрет групповыми политиками, и просит обратиться к администратору домена.)

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\gi.dll','');
 DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\gi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Проверьте доступ к антивирусным сайтам.

Сделайте новые логи. Используйте обычный AVZ (не забудьте обновить его базы)

Выполните дополнительно
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[lxa85]

Файл на проверку отправил, результаты будут позже.
Запустил AVPTool, он вычистил еще немного гадости из Windows\system32
Прилагаю новые лог. файлы.

[thyrex]

Доступ к сайтам появился?

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

[lxa85]

thyrex, доступ к сайтам появился.
Combofix удалил, OTCleanIt выполнил.
С восстановлением

Цитата thyrex:

c:\windows\System32\sfcfiles.dll »

пока сложно. "Домашний" образ надо искать, сервис пак накатывать.
Восстановление сильно критично или может чуток потерпеть?
Хочу установить критические обновления по май, это как-нибудь скажется на sfcfiles.dll ?

P.S. приложил файл отчет после сканирования Malware Bytes (к первому посту)

[thyrex]

Файл во вложении. Обновления безусловно нужно установить

[lxa85]

В обед буду восстанавливать файл и устанавливать обновления.
Контрольные логи к ответу прикладывать?
Какие-нибудь еще действия от меня требуются?

[Drongo]

Цитата lxa85:

убил пару "левых" профиля LocalService, NetworkService. Должен быть такой профиль Defaul User ? »

Это не левые профили!!!! Они присутствуют на всех системах, то что в линуксе их нет, не значит что и в Windows их не должно быть.