баннер тел 3381 текст M201717572

Поймал баннер (с тётенькой по бокам :)) телефон 3381 текст M201717572, ключи пробовал - не помогали (баннер исчезал, потом при запуске CureIt - снова появлялся).

AVZ не запускался - сразу происходила перезагрузка.

С помощью HijackThis обнаружил файл C:\windows\system32\dllcache\c_28593.nls
прописанный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
снёс файл , проверил все Kasperskim LiveCD - он чего-то нашёл и удалил из папки Автозагрузка. Потом загрузился в безопасном режиме - запустился CureIt - нашёл и удалил Winlock в одной из dll в system32\, потом он завис.

Загрузился в нормальном режиме - заработал AVZ - логи прилагаются.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\NewDotNet\newdotnet7_22.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('WMPNetworkSvc.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\NewDotNet\newdotnet7_22.dll');
AutoFixSPI;
ExecuteRepair(17);
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи + такой [url]http://www.gmer.net/[/url]

А также сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Скажите, пожалуйста, карантин дошёл? я его правильно залил?

логи скоро будут - AVZ трудится.

Дошел.

И это не забудьте
[QUOTE='thyrex;640756']А также сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url][/QUOTE]

Новые логи

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\nzxrrur.dll
c:\windows\system32\lop.dll
c:\windows\system32\rsqspxsh.dll
c:\windows\system32\dd.dll
c:\documents and settings\NetworkService\Application Data\dzipsb.dat

Driver::

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Сделал: в ходе работы combofix перезагрузил комп, выдал после загрузки системы ошибку файла pev.cfxxe, потом продолжил проверку.

Нужны ли логи от AVZ и hijackthis?

Выписываем из лазарета

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый

Всё хорошо, только почта не пропускает карантинную директорию, хоть она и запакована... Как можно отправить, чтобы доходило?

Выложите на файлообменник, а ссылку отправьте мне на e-mail

Залил на Народ. Ссылку отправил.

Спасибо Вам ещё раз.

А тему-то, наверное, закрыть можно? [Излечено]?
или я чего-то упустил? :)

Закроют

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\help\sounds.chm:dnwyjxgiiao:$data - [B]Trojan-Ransom.Win32.XBlocker.acx[/B] ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]