Последствия Trojan.Winlock.591 (592)
 

Здравствуйте!
На компе (ноутбук Toshiba Satellite A100-906) 2 операционки: WinXP Home SP3 + Win 7 x64. Под Win 7 x64 подхватил Trojan.Winlock.591 (или 592). Случилось это при загрузке обновления Flash Player при просмотре порно. После появления всем известного окна пытался сгенерить ключ на сайте Drweb ("Разблокировка Windows (Trojan.Winlock)), но ни один не подошел. Далее загрузился под WinXP, скачал CureIt и просканировал весь HDD. Был найден вышеупомянутый Trojan.Winlock.591 (или 592, на память точно не помню, а лога нет - вроде как удалил). Удалил его. После перезагрузки под Win 7 x64 не работал диспетчер задач и интернет ни через один браузер (стоят Mozilla Firefox и IE8), хотя до появления вируса все было нормально. Нашел на oszon'e похожие проблемы и смог восстановить работоспособность диспетчера задач: поставил значение 1 вместо 0 в реестре по пути: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system\disableTaskMgr
По правилам форума попытался сделать логи с помощью программ AVZ, HijackThis и AVPTool, но:
1). В AVZ при выборе "Установить драйвер расширенного мониторинга процессов" ничего не произошло (т.е. он, по-видимому, не установился), но я все же сделал логи (прилагаю);
2). AVPtool "отказался" делать отчет - выдал лог примерно из 17 пунктов (прилагаю);
3). HiJackThis - отработал нормально (логи тоже прилагаю).

P.S. Могу перезалить и WinXP, и Win 7 x64 (есть образы в Acronis True Image), но хочу вылечить систему, переустановка - не панацея. Поможете?

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Сделал все как вы написали:

1. Пофиксил в HijackThis, но после выполнения строк выдал следующее: "...HijackThis cannot repair 010 Winsock LSP entries. You should use LSPFix for that, which is available from: http:\\www.cexx.org\\lspfix.htm

2. Во время выполнения скрипта AVZ система выдала ошибку (лог прилагаю, crash_avz.rar), повисла, не смогла перегрузиться и выдала окно с 2-мя вариантами: закрытием программы и ее отладкой. При выборе любого из 2-х прога выключалась, однако записал (с экрана) лог, который она в своем окне выдавала (может быть, как-то поможет):

Функция user.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JumpTo[1000AF66]>>>> Код руткита в функции BlockInput нейтрализован

Функция user32.dll:DefDlgProcA(1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D1 Перехватчик user32.dll:DefDlgProcA(1657), нейтрализован

и т.д.

4. Сгенерированный файл quarantine.zip на newvirus@kaspersky.com отправил

Razey, повторите скрипт в таком виде

Скрипт выполнил. После перезагрузки интернет под х64 заработал. Пришел ответ от ЛК на посланный еще вчера файл (новый quarantine.zip не формировал) - вирусов в файле нет.

Спасибо, okshef , сильно выручили. :)