Черный смс-баннер на рабочем столе

Доброго дня!
30.11.2009 подхватил пару троянов, в темпах нашел войдя с др. ос, антивируса не было, после поставил. Вирусы также были обнаружены в папке Windows\Installer ... В папке Program files обнаружил некую папку Temp (внутри Admin.exe и пр. dll - Удалил спокойно.)
1. В безопасном режиме также появляется, но после небольшой чистки реже.
2. Сама служба "Безопасный режим" отключена и при попытке включить пишет что она запускается но потом закрывается, ибо некоторые службы могут проставить...
3. При попытке запустить ярлык "Восстановления" пишет мол отключена возможость в групповых политиках и обратитесь к администратору домена. Домена НЕТ! =)
4. AVZ нашел два подозрительных dll, некий advapi.dll и netapi32.dll. Пишет [CODE]Функция netapi32.dll:NetApiBufferAllocate (101) перехвачена, метод ProcAddressHijack.GetProcAddress ->73A6462A->73A51423[/CODE]
и типа того, таких строк много.

Даже в безопасном режиме полноценно сканить нельзя, устанавливать программы тоже, закрывается все и висит как при смене юзера.зы Читал советы по смене имени AVZ и Hijack... попробую. Что еще посоветуете ? )))

Попробуйте сделать лог HiJack

после переименования и запуска в безопасном режиме все исчезает ((( пустой экран и курсор... приходится перегружаться.

можно ли загрузить проверки с др ос ? она в другом разделе диска и прекрасно работает.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 31 минуту[/I][/B][/color][/size]

Я могу запустить переименованный файл программы HijackThis, но после запуска он выводит список найденных и закрывается, операционка уходит в пустое окно. Дальше ничего не работает. Естественно безопасный режим.

Этот HiJack тоже не работает [url]http://virusinfo.info/soft/1.zip[/url] ?

кое как удается запустить, но он в конце не находит путь и спрашивает куда сохранить логи, на этом шаге все исчезает.... вроде успеваю нажать на сохранить... но пока логов в той самой папке не вижу.

ко всему прочему на днях появилось - мол повреждена среда юзера, но раб стол грузит тот же... + еще пару троянов удалил с диска системы.

Файл hosts переполнен какой-то фигней с намеком на Spybot search... очень большой список. И он не редактируется.

[QUOTE='dasboot;523794']кое как удается запустить,[/QUOTE]Пофиксите строку [B]O20 - AppInit_DLLs:[/B]
Есть шанс, что поможет сделать логи после перезагрузки

Да, удалось. прикрепляю.... :094:

Сейчас удалось запустить остальные проверки. ZBotkiller нашел 12 Hooked imports а повторно еще 33...

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe[/CODE]

Полный комплект логов сделайте (в [B]нормальном[/B] режиме)

Стало значительно лучше. :094:
- Диспетчер задач заработал
- Ctrl + Alt + Del тоже ))

ps интернет на той ОС пока не включал.
Пару раз вылетал "проводник" при сёрфе по папкам винды.
Правда такое было и до вирусов, но редко.

Вот логи. В нормальном режиме.

Вопросы:
- Ось пишет что профиль поврежден, но вроде все загружается и работает. Как решить проблему ?
- Восстановление системы не содержит точек восстановления до сегодняшнего дня. Что стало со старыми ? Можно ли восстановить ?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
DeleteService('mssrvc');
DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Карантин выслал.

Плохого не видно. Что с проблемой?

Самое страшное, что пока замечаю это ошибка "explorer.EXE", появляется при поиске "F3" в моем компьютере. Вечерком могу скрин прицепить.

Если не трудно, можете прокомментировать данные вопросы:
- Ось пишет что профиль поврежден, но вроде все загружается и работает. Если я создам новый профиль проблема решится ?
- Восстановление системы не содержит точек восстановления до сегодняшнего дня. Можно ли восстановить старые, которые точно были ? Или, если вирусов нет можно спокойно пользоваться данной системой ?
[B]Огромное Вам спасибо!!!!!!!!!!!!!!!!!![/B] :094:

Еще какие-то трояны нашел. ((

[QUOTE='dasboot;525134']- Восстановление системы не содержит точек восстановления до сегодняшнего дня.[/QUOTE]Все старые точки удалены при отключении восстановления

[QUOTE='dasboot;526623']Еще какие-то трояны нашел.[/QUOTE]Какие и где?

[B]Сделал повторную многократную проверку различными программами - ни единого вируса.

Огромное спасибо за решение проблемы !!!!!!!!![/B]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\svcnost.exe - [B]Trojan.Win32.Agent2.cmhl[/B] ( BitDefender: Gen:Trojan.Heur.bOelrPDBHxcID )[/LIST][/LIST]