Вот эта проблема

[wolf-zver]

Компания Symantec предупреждает о появлении новой вредоносной программы Kardphisher, пытающейся похитить конфиденциальную информацию о своих жертвах.
Троян Kardphisher маскируется под систему активации Windows. После проникновения на компьютер Kardphisher создает на жестком диске файл с именем keylog.dll и вносит ряд изменений в реестр операционной системы. Далее вредоносная программа отображает на экране диалоговое окно с заголовком "Microsoft piracy control" и сообщает пользователю о необходимости повторной активации Windows.
В случае, если потенциальная жертва отказывается пройти процедуру активации, компьютер выключается. Если же пользователь согласится выполнить требование, на экран выводится форма, в которой, в числе прочего, предлагается указать название и номер кредитной карты. Естественно, после отправки формы вся указанная в ней информация попадает не на сервер Microsoft, а в руки злоумышленников.
Диалоговые окна, отображаемые трояном Kardphisher, по стилю выполнения очень близки к настоящим окнам, отображаемым системой активации Windows. При этом после запуска вредоносная программа не дает пользователю ни переключиться в другое приложение, ни вызвать диспетчер задач Windows. Троян способен инфицировать компьютеры, работающие под управлением операционных систем Windows 2000, Windows ХР и Windows Server 2003.
Впрочем, в компании Symantec подчеркивают, что особого распространения вредоносная программа пока не получила. Эксперты также отмечают, что программные платформы Windows иногда нуждаются в повторной активации, однако Microsoft при этом никогда не требует указывать информацию финансового характера

Подхватил этот вирус! Посмотрите пожалуйста логи!

Получилось загрузиться только с "Безопасный режим с поддержкой командной строки".

Логи только не все удалось сделать. Надеюсь на ваш профессианализм.

[Numb]

Пофиксите с помощью Hijackthis строчки:

Код:

F2 - REG:system.ini: Shell=C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKLM\..\Run: [systemsrvload] C:\WINDOWS\system32\drivers\svchost.exe

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\GenPort.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.

После перезагрузки, загрузитесь в нормальном режиме, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=31388 , как написано в прил.2 правил, и попробуйте повторить логи в нормальном режиме.

[wolf-zver]

Карантин выслал
Файл сохранён как 081006_014658_virus_48e9b4620e414.zip
Размер файла 3686
MD5 8cdd74f947c2cf8067a7f2aa35921524

Профиксить не удалось так как там не было этих строчек.

Логи прикрепил.

Жду ответа.

Господа, прошло четыре часа! никого нет что ли? на другие же темы отвечаете.

[wolf-zver]

Меня игнорируют?

[Numb]

Меня игнорируют?

Ни в коем случае. Просто ответа по вашему карантину не видно пока. В дополнение, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\win2pdfm.dll','');
 QuarantineFile('C:\WINDOWS\zakat.scr','');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ, если будет не пустой, загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=31388 , как написано в прил. 2 правил.

[wolf-zver]

Файл сохранён как 081007_011701_virus_48eafeddd2bea.zip
Размер файла 1298121
MD5 a80998162e6d9e24bd53d7f0d06b5d5f

zakat это по моему заставка экранная.

Жду ответа.

[Numb]

В предыдущий карантин попал только C:\WINDOWS\system32\Drivers\GenPort.sys - он, вроде, чистый. В текущем - C:\WINDOWS\system32\win2pdfm.dll и C:\WINDOWS\zakat.scr - тоже чистые.
Файл

Код:

C:\WINDOWS\System32\userinit.exe

в карантин не попал. Попробуйте найти его самостоятельно, упаковать в архив с паролем virus и загрузить по ссылке http://virusinfo.info/upload_virus.php?tid=31388 . Ни в коем случае не удаляйте данный файл, просто скопируйте в архив.

[wolf-zver]

Файл сохранён как 081007_060142_vitus_48eb41961f02f.zip
Размер файла 11999
MD5 9ba656acef21ea9c431cd9406d3e173c

прислал.

[Гриша]

userinit.exe_

Вредоносный код в файле не обнаружен.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены