Тоже порнобаннер

Схема стандартная, как и у других.
Но, в пятницу этот же порнобаннер был совсем другой модификации - было несколько библиотек в system32, их видел NOD32 из-под чистой системы, после очистки всех временных папок, корзины, и этих файлов, а так же восстановления с помощью AVZ, вирус был поборот.
Сегодня же попалась новая модификация:
- AVZ, NOD32, Cureit ничего не видят из-под чистой системы.
- попытка запуска в зараженной системе любого исполняемого файла (ехе, pif, com и др.) приводит к вылезанию порнобаннера, т.к. изменены параметры запуска этих файлов.
- заблокированы диспетчер задач и редактор реестра
- при попытке запуска хайджека, AVZ или combofix система уходит в завершение работы.

Что удалось обнаружить - запускаемые файлы, положенные в автозагрузку, запускаются без вылезания порнобаннера и работают около 5 секунд, после чего либо закрываются, либо система выключается.
Было вручную прибито пара десятков запускаемых файлов из корня диска, из темпа, файлы свежие.
Экземпляр вируса пойман на сайте :http:www.urod.ru, NOD32 даже не пискнул, просто система повисла. Достаточно просто было открыть сайт.

Попытки сделать хоть какие-то логи пока безуспешны - не запускается вообще ничего. Безопасный режим - та же ситуация.

Подскажите программку для анализа файлов реестра без загруженной системы, может там что-то найду в автозапуске и службах.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Запуск полиморфной версии AVZ, переименованной версии и попытки переименования всех остальных антивирусных программ - 5 секунд работают из автозагрузки, затем завершение работы.

Hijack можете запустить?

Нет.
В зараженной системе невозможно запустить никакие exe, com, bat, pif, scr файлы иначе, как через автозагрузку.
Через автозагрузку есть только 5 секунд работы, я за это время успеваю только ткнуть в кнопку, затем программа прибивается, компьютер выключается.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 14 минут[/I][/B][/color][/size]

с чистой операционки система просканирована свежим касперским (обновление базы 1 час назад) Чисто. Но не работает, вирус активен.

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

Проблема устранена. Удалось через автозагрузку запустить gmer. В нем нашел библиотеку с непривычным именем - opYVu.dll, грохнул её. После перезапуска запустился AVZ.

Библиотека не определяется антивирусами, могу скинуть для анализа, если кому-то надо.

Метод лечения - в папку автозагрузки закинуть исполняемый файл gmer. C его помощью снять логи автозапуска и загружаемых драйверов. Он не вырубается данным вирусом.
Всем спасибо. Готов сотрудничать дальше.

Логи АВЗ сделайте!

лог.
Вот только систему я уже почистил немного

toy3hp8e.bat, toy3hp8e.exe в автозагрузке - это что?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\opYVu.dll','');
DeleteFile('C:\WINDOWS.0\system32\opYVu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новый лог

карантин прислать не могу, файл уже прибит и по месту прописки в реестре, уже давно не находится.
Файлы в автозагрузке - это переименованый gmer

Тогда лечение закончено