DownloadMaster

Начну по порядку, суть проблемы СМС вымогатель скриншот приведен ниже:
Система вин ХР ср3, Антивирусник (Avira обновлял на кануне заражения) работать перестал, зловред не дает запускать никакие ехе, сом, смд и другие исполняемые файлы, или перезагрузка или опять всплывает баннер, баннер можно убрать правой кнопкой по рабочему столу – «свойства»
из того что попробовал:
- Вызов диспетчера задач 3 кнопками(Ctrl+Alt+Del) не дает результата;
- точка восстановления не отключается, запрещено политикой;
- CureIt - не запустился;
- AVPTool – не запустился;
- AVZ и AVZ polymorf – не запустился;
- osam – не запустился;
- gmer\get4 – не запустился;
- Запуск интернет эксплорера через экранную лупу не помогает;
- hiJackThis – работает только переименованный с смд файлом(thx кто сделал его);
[CODE]
R3 - URLSearchHook: (no name) - - (no file) – был пофиксен;
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe – не было в списке;
O20 - AppInit_DLLs: C:\WINDOWS\system32\nbnlml.dll – в игнор листе был пофиксен;
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing) – не было в списке;
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
O20 - AppInit_DLLs: C:\WINDOWS\system32\cntsqa.dll – не было в списке;
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 – бфл пофиксен;
O20 - AppInit_DLLs: C:\WINDOWS\system32\gke.dll - не было в списке;
[/CODE]
Лог прилагаю.

Из live CD попробовал DrWeb ничего не было найдено, кроме archive OLE в hiJackThis.

Из под LiveCD почистите все временные папки (Temp, Temporary Internet Files) во всех аккаунтах. Затем пробуйте сделать логи.

1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: [url]http://support.kaspersky.ru/viruses/avptool2010?level=2[/url], ссылка для загрузки: [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url] ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

удаление файлов не помогло но помог ввод кода(сенк кто нашел закономерность):
[QUOTE]
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1»

15.12.2009 -дата
[/QUOTE]
После запуска Gmer перезагрузка
Новые логи:
- AVZ polymorf;
- osam;
- Combofix
- hiJackThis:

ЗЫ: поставил на проверку AVPTool.

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\xwfvcmq.dll','');
QuarantineFile('c:\windows\system32\xjeudwab.dll','');
QuarantineFile('c:\windows\system32\uaazbs.dll','');
QuarantineFile('c:\windows\system32\tzm.dll','');
QuarantineFile('c:\windows\system32\mmptdf.dll','');
QuarantineFile('c:\windows\system32\le.dll','');
QuarantineFile('c:\windows\system32\gza.dll','');
QuarantineFile('c:\windows\system32\ettfoigs.dll','');
QuarantineFile('c:\windows\system32\di.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.

скрипт выполнил
файл virus.zip загрузил
[QUOTE]Файл сохранён как 091229_001510_virus_4b391fde8e0e5.zip
Размер файла 1053596
MD5 bc167da75b9cbedf21caf855153f443e[/QUOTE]
вот новые логи:

Логи AVZ сделайте обычной версией (не забыв обновить базы), а не полиморфом

обновил avz и комбофикс, сделал логи:

Чисто.Что с проблемой ?

Установите Internet Explorer 8

[QUOTE=snifer67;548183]Чисто.Что с проблемой ?

Установите Internet Explorer 8[/QUOTE]

все вроде бы ок
а ie 8 обязательно устанавливать?

thx за помощь

IE обязательно обновить.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\di.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\ettfoigs.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\gza.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\le.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\mmptdf.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\tzm.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\uaazbs.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\xjeudwab.dll - [B]Packed.Win32.Krap.w[/B][*] c:\windows\system32\xwfvcmq.dll - [B]Packed.Win32.Krap.w[/B][/LIST][/LIST]