trojan.winlock.2741

[IIIuxTa]

Привет, у меня такая проблема. Появился баннер с предложением пополнить некий счёт на 300 рублей, на сайте д-р Веб нашёл похожий, но коды не помогли, почитал здесь форум в подобных ситуациях просили сделать
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
Userinit
C:\WINDOWS\system32\userinit.exe,
параметр
Shell
C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe
ветка

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
AppInit_DLLs
C:\WINDOWS\system32\vksaver.dll


Вот как-то так

[polword]

Правильные значения для этих параметров:
Shell = Explorer.exe
Userinit = C:\Windows\System32\userinit.exe,

исправьте.

параметр
AppInit_DLLs не исправляйте

Загрузитесь в нормальном режиме
Сделайте комплект логов по правилам

[IIIuxTa]

Логи

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe','');
 DeleteFile('C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe');
 DeleteFileMask('C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

В остальном подозрительного нет.

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.4 или удалите старый.

[IIIuxTa]

Тут произошло непредвиденное - после того как выложил логи решил запустить Оперу (основной браузер) и после этого опять вылез баннер и повторение уже проделанных раньше действий не помогает, параметр Shell изменяется. Загружал инструменты и читал правила http://virusinfo.info через Мозилу, а Оперу запустил только после как мне показалось исцеления. Безопасный режим не работает.
Поэтому не могу сделать действия из предыдущего поста.

[polword]

Загрузитесь с ERD Commander диска.
поищите файл C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe - удалите его + удалите все из папки C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5
измените параметр Shell и попробуйте загрузиться и сделать логи

[IIIuxTa]

Файл и содержимое папки удалил, исправил Shell, при загрузке баннера нет, прогружаются только обои без меню Пуск и иконок, курсор есть, двигается, запускается диспетчер задач

[polword]

через диспетчер задач запустите AVZ И выполните скрипт

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 ExecuteRepair(5);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[IIIuxTa]

Новые логи

[polword]

что с проблемой?

[IIIuxTa]

Загрузилось всё нормально, проблем не наблюдается.
Огромное спасибо за столь качественную и быструю помощь

[polword]

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.4 или удалите старый.