Страшный зверь

Есть компьютер, на нем стоял не активированный касперский около года, купили лицензию, я поставил касперского, обновил базы, все проверил, обновил виндовс до 3 сервис пака.
На следующий день люди проверили почту на mail.ru и началось.
"Внимание! Ваш компьютер заблокирован пошлите SMS на номер..." и т.д.
При этом диспетчер задач заблокирован в безопасном режиме синий экран, проверка диска на другом компьютере ничего не дала. Переставил виндовс поверх, надпись пропала но рабочего стола не было, зато заработал безопасный режим, запусnил AVZ, он ничего не нашел но при этом ругался на невозможность запуска AVZguard, сделал востановление системы (из AVZ), в безопасном режиме все заработало, в обычном опять стало вылезать сообщение, при этои ничего не запустить, видно что диспетчер задач запускается (мелькает) но сразу пропадает с экрана, кнопки пуск тоже не видно.
AVZ логов не делает!

Без логов каши не сваришь. Скачайте АВЗ [URL="http://rapidshare.com/files/199106177/toto.pif"]отсюда[/URL], базы обновлять не надо.

Вот логи

Взял на себя смелость и закачал файл который по моему мнению является вирусом
rdl41.tmp.exe

Отключите

- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт [/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('c:\windows\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Логи посылаю, в карантин ничего не попало, он чего-то красным написал и перезагрузился, а файлы для карантина удалил.

[QUOTE=smuh;381760]файлы для карантина удалил.[/QUOTE]
Кто удалил? Касперский? Так его же надо было отключить перед лечением.

AVZ при выполнении скрипта файлы на карантин не поместил, а удалить - удалил, мне удалось выловить зверя, я его засунул вручную в карантин и послал вам.
Он зараза ни чем не ловится!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKLM\..\Run: [notviz] C:\WINDOWS\system32\winhelp.exe[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\winhelp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите пункт 2 диагностики...

Загрузил лог, winhelp.exe в системе небыло. Определили что за зверь?

В логах чисто, установите SP3+all updates...

Как-же чисто?! Я же прислал сам вирус! Попробуйте его запустить. Или он не дошел?

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Я послал файл rdl41.tmp.exe , при запуске он блокирует диспетчер задач и прописывает себя в автозагрузку и выводит сообщение про посыл денег по смс, это пришло с почты яндекса, ни один антивирус эту гадость не видит. Что делать что бы оно опять не залезло?

f:/LOG/rdl41.tmp.exe - [B]Trojan.Win32.Agent.bzbh[/B]

А чем его ловить, у меня в сетке 40 машин, я волнуюсь что ни AVZ ни касперский даже с максимальным уровнем эвристики его не видят.

Скоро будет детектироваться Касперским...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:/log/rdl41.tmp.exe - [B]Trojan.Win32.Agent.bzbh[/B][*] \rdl41.tmp.exe - [B]Trojan.Win32.Agent.bzbh[/B][/LIST][/LIST]