добить СМС вымогателя

Здравствуйте, поймал вот такую заразу:
При загрузке выходят ошибки запуска программ из автозагрузки, затем отрубает все программы, на весь экран появляется окно с просьбой ввести код от отправленной смс.
в "лицензионном сограшении" данного "попрошайки" есть пункт "Если установленное ПО вас не устраивает введите код ...." вводил, но не помогает. Вводил код который на сайте Касперского генериться - тоже "ноль".

Вирус при запуске любой программы блокирует ее и запускает свою копию. каждые 5 секунд проверяет разрешение экрана, если изменено, то снова возвращает 1024х768. блокирует окна с названиями total commander, autorun(s) avz, cureit, drweb, не дает выйти в инет, запускать коммандную строку, диспетчер задач (включая аналоги типа proccess xp), мнгновенно удаляет все, что попадает в пункт автозагрузка любого пользователя.
безопасный режим вообще не дает запускать.
пробовал переименовывать [URL="http://avptool.virusinfo.info/ru"]Kaspersky Virus Removal Tool[/URL] и запускать - не помогает. Запустился с WinXPE, прошелся CureIT, только после этого удалось запустить [SIZE=1][COLOR=#0532aa][U][SIZE=2]AVZ[/SIZE] [/U][COLOR=#000000]и [SIZE=2]HijackThis.[/SIZE][/COLOR][/COLOR][/SIZE]
Теперь не запускаются диспетчер и т.п. , хотелось бы добить эту заразу, логи прилагаются

з.ы. Ну и С Новым Годом всех!!!! :santa:

Приложите virusinfo_[b]sys[/b]cure.zip

Пофиксить в Hijack следующие строки:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe bfwl.pgo jagktms[/CODE]
Выполнить скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(11);
Executerepair(13);
Executerepair(14);
Executerepair(16);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
[B]Обновите базы АВЗ!!![/B]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

скрипты запустил, в найджеке пофиксил...

при попытке запустить обновление баз AVZ выдает: "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с [URL]http://www.z-oleg.com/secur/avz_up/[/URL] [21, 00002EFD]"

лог найджека в приложении

Сделайте логи АВЗ без обновления баз, также сделайте лог MBAM

Базы можно обновить, скачав [url=http://z-oleg.com/secur/avz/download.php]отсюда[/url] архив с базами и распаковав его в папку Base.

Базы по ссылке скачал, поставил.

Выполняю первый пункт
"
[CENTER][B][COLOR=brown]Диагностика[/COLOR][/B][/CENTER]

[B]1. Запустите [/B]AVZ*. Откройте меню [B]"Файл"=>"Стандартные скрипты"[/B] и отметьте пункт [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B]. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве [B]virusinfo_syscure.zip[/B]."
но в папке "LOG" лежит только virusinfo_cure.zip и больше ничего :(

MBAM поставил , обновления он также ставить не хочет пишет "Error code 732(2, 0)"
лог MBAM в приложении, пока ничего не удалял

Лог [B]AVZ [/B]по шагу 2. во вложении
При запуске сканирования [B]hijackthis[/B] вылезает окошко [B]Outpost Firewall[/B] с предупреждением, причем в остальных случаях он себя никак не проявляет, лог во вложении
диспетчер и сэйфмод также не грузятся

Удалите в [url=http://virusinfo.info/showpost.php?p=493584&postcount=2]mbam [/url]
[code]
Заражено ключей реестра:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
[/code]
Сделаете новый лог mbam+лог hijackthis

+ к [B]snifer67[/B]

1. Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[QUOTE] >> Заблокированы настройки системы System Restore[/QUOTE]Исправьте через [B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы -[/B] отметить указанное - [B]Исправить[/B]

3. [B]Пуск - Выполнить - regedit[/B]
Щелкая по плюсикам, доберитесь в ветку
[code]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
Найдите в правой части параметр [b]AppInit_DLLs[/b] и удалите в нем упоминания о [b]C:\WINDOWS\system32\pdltjo.dll[/b]

4. Проверьте работу безопасного режима, диспетчера задач и редактора реестра

5. Сделайте новый лог virusinfo_syscheck.zip + логи, запрошенные snifer67

[QUOTE=thyrex;550458]+ к [B]snifer67[/B]

1. Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.


[/QUOTE]

вместо перезагрузки, после выполнения скрипта, выдает:"Failed to set data for 'Displey Name'"

[QUOTE=thyrex;550458]+ к [B]snifer67[/B]

2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Исправьте через [B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы -[/B] отметить указанное - [B]Исправить[/B]

3. [B]Пуск - Выполнить - regedit[/B]
Щелкая по плюсикам, доберитесь в ветку
[code]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
Найдите в правой части параметр [B]AppInit_DLLs[/B] и удалите в нем упоминания о [B]C:\WINDOWS\system32\pdltjo.dll[/B]

4. Проверьте работу безопасного режима, диспетчера задач и редактора реестра

5. Сделайте новый лог virusinfo_syscheck.zip + логи, запрошенные snifer67[/QUOTE]

2. отправил
+исправил
3. выполнил

4-5 пробую

безопасный режим не грузится , диспетчер задач - грузится

Логи новые где?

как уже писал выполнение шага: "[B]1. Запустите [/B]AVZ*. Откройте меню [B]"Файл"=>"Стандартные скрипты"[/B] и отметьте пункт [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B]. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве [B]virusinfo_syscure.zip[/B]."
не приводит к появлению файлов [B]virusinfo_syscure.zip [/B]и[B] avz_sysinfo.htm [/B]в папке "LOG", поэтому сохранил протокол из основного окошка AVZ в предложенный файлик с именем [B]avz_log.txt[/B] (его тоже приаттачил, не знаю уж поможет он ли делу)

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Temp\Rar$EX00.672\game.exe','');
BC_ImportAll;
Executerepair(6);
Executerepair(11);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте ст.скрипт №2
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте лог Gmer.

Карантин по [COLOR=red]ссылке вверху[/COLOR] залил.

Лог Gmer здесь
Удалось наконец сделать полноценный [B]virusinfo_syscure.zip[/B] после выполнения вышеприведенного скрипта, его тоже на всякий случай прилагаю.

Безопасный режим все также не работает, т.е. показывает список загрузки драйверов и вываливается в перезагрузку.

[QUOTE='Mst;552265']Безопасный режим все также не работает, т.е. показывает список загрузки драйверов и вываливается в перезагрузку.[/QUOTE]
Попробуем исправить. Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(10);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]

Спасибо огромное за помощь!
Вроде теперь все что надо заработало, даже стандартное переключение клавиатуры которое раньше приходилось делать с помощью мышки :rolleyes:

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]