Порнобанер! смс М20061784625 на номер 3381

Поймал зверя :( Касперский перестал запкскаться из-за какой то политики, да и все проги тоже вылетают.AVZ не грузится. Удалось кое-как сделать лог HJ после чего комп сам выключился... Помогите!!!

Без АВЗ дела на будет: [url]http://virusinfo.info/showthread.php?t=61596[/url]

Нужно скачать образ LiveCD, в котором можно редактировать реестр. Например, [B]ERD Commander[/B]. Потом последуют дальнейшие указания

to Rene-gad: cmd не хочет грузится вообще! промелькивает в пол секунды и все!

Сообщение №3 прочтите

Скачал ERD Commander, записал на диск. Жду дальнейших указаний

1. Загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра в своем сообщении напишите

там прописано c:\winsp3\system32\nxm.dll

я так понял этот файл нужно удалить?

- Переименуйте этот файл
- Очистите значение параметра AppInit_DLLs
- Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам

[size="1"][color="#666686"][B][I]Добавлено через 44 секунды[/I][/B][/color][/size]

Пришлите переименованный файл [B]c:\winsp3\system32\nxm.dll [/B]запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

вот логи.

Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\uxjj.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bcehnn.old 2nAKBMPANK','');
QuarantineFile('C:\WINSP3\system32\nxma.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINSP3\Application Data\Macromedia\SwUpdate\swupdate.dll.tmp','');
DeleteFile('C:\WINSP3\system32\nxma.dll');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bcehnn.old 2nAKBMPANK');
DeleteFile('C:\Documents and Settings\Admin\Application Data\uxjj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)
O15 - Trusted Zone: http://www.beonline.ru
O15 - Trusted Zone: http://www.megafoncenter.ru
O15 - Trusted Zone: http://www.megafondv.ru
O15 - Trusted Zone: http://www.megafonkavkaz.ru
O15 - Trusted Zone: http://sms.megafonmoscow.ru
O15 - Trusted Zone: http://www.megafonnw.ru
O15 - Trusted Zone: http://*.megafonsib.ru
O15 - Trusted Zone: http://www.megafonural.ru
O15 - Trusted Zone: http://www.megafonvolga.ru
O15 - Trusted Zone: http://sms.mts.ru
O15 - Trusted Zone: http://*.tele2.ru
O20 - AppInit_DLLs: C:\WINSP3\system32\nxma.dll[/CODE]
Сделайте новые логи по правилам

Сделано! Но Касперский по прежнему не запускается, пишет "....из-за политики ограничения программного обеспечения...."

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]

сделано! каспер загрузился

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\winsp3\system32\adm.dll
c:\winsp3\system32\kq.dll
c:\winsp3\system32\klv.dll
c:\winsp3\system32\dduzbgbn.dll
c:\winsp3\system32\phzb.dll
c:\winsp3\system32\urwozdbz.dll
c:\winsp3\system32\vzquxxdy.dll
c:\winsp3\system32\shhbj.dll

Driver::

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

готово. после комбофикса, Касперский перестал автоматически загружаться, приходится грузить его через ПУСК и Deamon tools тоже, пишет " для этого приложения нужна как минимум windows 2000...."

как быть?

Попробуйте просто переустановить антивирус и Daemon Tools

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\application data\uxjj.exe - [B]Worm.Win32.AutoRun.bhvp[/B] ( DrWEB: Trojan.MulDrop.55658, AVAST4: Win32:Malware-gen )[*] c:\winsp3\system32\nxma.dll - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Winlock.1678 )[*] \nxma.dll - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Winlock.1678 )[/LIST][/LIST]