uBest Net speed pro с кодом М21720009 на номер 8353

[KuTOC]

вы нарушилы права проги uBest Net speed pro и просит ввести смс с кодом М21720009 на номер 8353 (даже в безопасном режиме). ни какая программа не запускается, даже в безопасном режиме.
Что-то поправил в реестре через LiveCD - HiJack стал запускаться, прилагаю лог (hjlog.txt, стандартное название нельзя использовать, перезагружает компьютер). AVZ при запуске перезагружает компьютер

[snifer67]

Пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\ddvqr.dll

ПК перезагрузите.

Сделаете логи avz.

[KuTOC]

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\ddvqr.dll

Пофиксил, DLL`ка изменила имя... сейчас под именем :jojv.dll

Пока писал пост snifer67 ответил *
Сейчас попробую соответственно изменив dll ку

[KuTOC]

Не дает запустить avz. Если зайти в папку с avz - перезагружает компьютер.
Если запустить напрямую - Вылетает окно вируса с текстом для смс и т.д
Выкладываю лог hijack`a

[snifer67]

Попробуйт сделать логи таким avz http://z-oleg.com/avz.exe

[KuTOC]

переименовал в 1.exe.....перезагружает компьютер как в обычном так и в безопасном режиме

Добавлено через 38 секунд

Очень прошу помощи, сотрудник улетает через несколько часов...

[snifer67]

Сделайте такие логи http://virusinfo.info/showthread.php?t=58309 http://virusinfo.info/showthread.php?t=53070

[KuTOC]

Что было сделано:
через livecd заменил текст файла an.dll (O20 - AppInit_DLLs: C:\WINDOWS\system32\an.dll -на тот момент файл имел такое название)
Теперь все программы запускаются, но с ошибкой (PrintScreen прилагается)

выкладываю логи:

[snifer67]

Пофиксить в HijackThis

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\an.dll

ПК перезагрузите.

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\an.dll','');
DeleteFile('C:\WINDOWS\system32\an.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[KuTOC]

Да да, всё отлично! Спасибо Вам.
Так, у меня an.dll в карантин не требутеся, он пустой (я удалил текст)
Но остались файлы как:ddvqr.dll, jojv.dll .... т.е подобные
В каком формате присылать? Сейчас убегаю, отправлю из дома.

[snifer67]

В каком формате присылать?

rar

[KuTOC]

Отправил вирус, ноут в командировке...Человек спешил на самолет, возможности сделать логи не было.

[thyrex]

В карантине Trojan-Ransom.Win32.SMSer.tl (новинка)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \ddvqr.dll - Trojan-Ransom.Win32.SMSer.tl ( DrWEB: Trojan.Winlock.521, AVAST4: Win32:Malware-gen )