Баннер информера на раб. столе

[bam24]

Поймал вирус, на рабочем столе висит баннер, блокирует всё кроме себя, требует смс. Безопасный режим не помогает. Нашёл к нему код, подошёл, баннер исчез, провёл проверку dr web cureit, были найдены и удалены несколько вирусов. Перезагрузил компьютер - баннер снова обнаружился, но на этот раз код найти не удалось. Этот, второй информер ссылается уже на другие смс и сайт, но выглядит примерно так же, тот же вирус походу.
Название - ass1st.com
номер - 8353
текст - 495623117(всегда после перезагрузки меняется)
Деблокер пишет что для данных номера и текста кода нет.
Диагностику предоставить не могу, заблокировано ж.

[thyrex]

1. Загрузитесь в безопасном режиме с поддержкой командной строки
2. Наберите в командной строке regedit, откроется реестр
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

shell

Содержимое параметра напишите в своем сообщении

[bam24]

Explorer.exe, C:\Program Files\Common Files\Microsoft Shared\mss oft.exe это?

[Шапельский Александр]

В параметре Shell должно быть значение Explorer.exe
Остальное удалите. Затем пробуйте сделать логи.

[bam24]

Логи сделать не могу, после перезагрузки баннер продолжает висеть и соответственно всё заблокированно, и параметр в shell возвращается каким был.

Добавлено через 34 минуты

А, вот удалось перезагрузиться с сохранением параметров, баннер исчез. Сейчас сделаю логи.

[bam24]

Логи.

[thyrex]

Файл C:\Program Files\Common Files\Microsoft Shared\mssoft.exe не удаляли?
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
После этого файл можно удалить

[bam24]

Прислал.

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\04jY9bo.exe,\\?\globalroot\systemroot\system32\gen23Mh.exe,\\?\globalroot\systemroot\system32\uwOqFiO.exe,

Обновите базы AVZ

Сделайте новые логи без работающего CureIt

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[bam24]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\04jY9bo.exe,\\?\globalroot\systemroot\system32\gen23Mh.exe,\\?\globalroot\systemroot\system32\uwOqFiO.exe,

Не понял что и как...

Обновите базы AVZ

Никак, выдаёт ошибку ( http://s006.radikal.ru/i215/1007/15/4c41865d3e64.jpg http://s50.radikal.ru/i128/1007/a3/8ec3162eb454.jpg )

[bam24]

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Во вложениях.

[thyrex]

Не понял что и как...

http://virusinfo.info/showthread.php?t=4491

Скачайте полиморфный AVZ (ссылка в моей подписи)

Выполните скрипт в полиморфном AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wIefgEy.exe','');
DeleteFile('C:\WINDOWS\system32\wIefgEy.exe');
QuarantineFile('C:\WINDOWS\system32\NDR0OmW.exe','');
DeleteFile('C:\WINDOWS\system32\NDR0OmW.exe');
QuarantineFile('C:\WINDOWS\system32\KGsEbYo.exe','');
DeleteFile('C:\WINDOWS\system32\KGsEbYo.exe');
QuarantineFile('C:\WINDOWS\system32\mgMTlyI.exe','');
DeleteFile('C:\WINDOWS\system32\mgMTlyI.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пробуйте обновить обычный AVZ
Сделайте новые логи + новые логи RSIT

[bam24]

Пофиксил.
Скачал и выполнил, карантин выслал.
AVZ обновилось. Новые логи во вложениях.

[bam24]

О, сайт стал грузится, до этого было возможно зайти только через прокси...

[thyrex]

Чисто

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE

[bam24]

Установите SP3

Еле скачал (на странице закачки браузеры вылетают с "неожиданной ошибкой и аварийным завершением работы"), начал устанавливать - и выдаёт некую "внутреннюю ошибку"... =\

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\kgsebyo.exe - Trojan.Win32.Jorik.Shiz.v ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Trojan.Generic.4532542, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\mgmtlyi.exe - Trojan.Win32.Jorik.Shiz.af ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Spyware-gen [Spy] )
  3. c:\windows\system32\ndr0omw.exe - Trojan.Win32.Jorik.Shiz.v ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Trojan.Generic.4532542, AVAST4: Win32:Malware-gen )
  4. c:\windows\system32\wiefgey.exe - Trojan.Win32.Jorik.Shiz.s ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Trojan.Generic.4472924, AVAST4: Win32:Malware-gen )
  5. \mssoft.exe - Trojan-Ransom.Win32.PinkBlocker.caq ( DrWEB: Trojan.Winlock.2108 )