Два! Порно банера подряд

История такова >
Появился порно банер просящий отослать смс с текстом 1011243 на номер 5121
к нему я подобрал код и он исчез,
но практически сразу выскочил новый баннер
просящий отослать текст М201017171 на номер 3381
к этому коды не подошли.
Мало того , не даёт запустить AVZ ни полиморфный ни обычный переименованный ни к каком режиме.
С LIveCD запускал AVZ и др антивирусники - вирусов не нашли .
А вот [B]hijackthis [/B]запустить удалось на заражённой системе .
Вот так , помогите в очередной раз пожалуйста ..

Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
[/CODE]

перезагрузитесь

попробуйте [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Профиксил в HijackThis .
Перезагрузил.
AVZ не запускается и сразу комп выключается.
Проблемы остались те же ..Баннер с текстом М201017171 на номер 3381
В безопастном режиме тоже самое.

P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?
Могу попробовать вручную удалить файл по адресу C:\WINDOWS\system32\srnh.lto , надо ?

Водил коды собранные с этой ветки форума у кого тоже баннер с номером 3381-
не подходят..
Как только не переименовывал AVZ - не запускается ни в безопастном режиме
ни под другой учётной записью.

А ведь некоторым тут подбирали как то код под этот номер .
Может дадите ссылочку на алгоритм подбора - сам попробую подобрать ..

[QUOTE='Ниид хелп;639063']P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?[/QUOTE]Нет, нужен другой подход

Ваш Live CD с возможностью просмотра и правки реестра?

[QUOTE=thyrex;639686]Нет, нужен другой подход

Ваш Live CD с возможностью просмотра и правки реестра?[/QUOTE]

Да, умею пользоваться .Всё готово для начала работы .( LIveCD загружен)

Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра в своем сообщении напишите

AppInit_DLLs / тип: REG_SZ / значение : пусто ( ничего нет)

Это параметры из загруженного куста?

Попробуйте поискать упоминания в реестре файла [B]systems.exe[/B]

Также с помощью LiveCD посмотрите содержимое файла win.ini в папке system32 на предмет записей с подозрительными именами файлов

[QUOTE=PavelA;639752]Это параметры из загруженного куста?[/QUOTE]

Да, конечно

Сообщение №10 посмотрите

[QUOTE=thyrex;639735]Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра в своем сообщении напишите[/QUOTE]

Прошу прощения я ошибся . Вот содержание из выгруженного куста

C:\WINDOWS\system32\nvcpl.chm:QRNluaM

C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.

[QUOTE=PavelA;639766]C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.[/QUOTE]

Нашёл только два файла [B]nvcpl.chm [/B]( без QRNluaM)- скопировал .
Ключ в реестре почистил . Куст выгрузил .



[QUOTE=thyrex;639756]Попробуйте поискать упоминания в реестре файла [B]systems.exe[/B]
[/QUOTE]

такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)

Пробовать запустить заражённую машину ?

такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)
---
Переименовать его и попробовать запуститься.

[QUOTE='Ниид хелп;639787']Нашёл только два файла nvcpl.chm ( без QRNluaM)- скопировал .[/QUOTE]Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM

[QUOTE=thyrex;639813]Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM[/QUOTE]



Загрузился, следов явных вируса нет, тоесть работают все программы и команды по администрированию ,интернет работает.
Правда диспетчер задач не открывается , пишет : отключен администратором
ну и касперский на запускается то же ,пишет : невозможно открыть из за политики ограничения



nvcpl.chm:QRNluaM так и не найден .



[QUOTE=PavelA;639766]C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.[/QUOTE]



Скопирован в папку C:\infi



Запусил AVZ переименованным в explorer.exe
Запустил hijackthis переименованным в Hyujaka.exe


Вот лог

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин пришлите по Правилам.
Сделайте лог утилитой MBAM. удалять в ней ничего не надо.
"Восстановление системы" надо будет отключить.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
QuarantineFile('C:\infi\nvcpl.chm:QRNluaM:$DATA','');
DeleteFile('C:\infi\nvcpl.chm:QRNluaM:$DATA');
DeleteFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Переименованный C:\Documents and Settings\All Users\systems.exe запакуйте с паролем [B]virus[/B] и также пришлите по красной ссылке

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Сделал

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\ra.dll
c:\windows\system32\owa.dll
c:\windows\system32\bzyxm.dll
c:\windows\system32\znlovc.dll
c:\windows\system32\x.dll
c:\windows\system32\ezn.dll
c:\windows\system32\ja.dll
c:\windows\system32\pciqol.dll
c:\windows\system32\ekfzmyhmp.dll
c:\windows\system32\qfqayh.dll
c:\windows\system32\pqauaqlho.dll
c:\windows\system32\xhfcalam.dll
c:\documents and settings\All Users\config.bat
c:\documents and settings\All Users\mover.bat
c:\documents and settings\All Users\ret.bat
c:\documents and settings\All Users\hide.bat
c:\documents and settings\All Users\jopasruchkoy.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Перед советом коллеги выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
QuarantineFile('c:\documents and settings\All Users\hide.bat','');
QuarantineFile('c:\documents and settings\All Users\ret.bat','');
QuarantineFile('c:\documents and settings\All Users\config.bat','');
QuarantineFile('c:\windows\system32\ra.dll','');
end.[/CODE]
карантин пришлите на проверку.

[B]PavelA[/B], файлы будут в карантине ComboFix ;)

[B]thyrex[/B], Я прошу это сделать для упрощения процедуры обработки Кибером. Он карантины не от AVZ не кушает. ;)

Знаю. Я бы сам посмотрел и отправил
Карантин ComboFix ведь все-равно ко мне пойдет, а не Киберу :)

Сделал

[QUOTE='thyrex;640136']Карантин ComboFix ведь все-равно ко мне пойдет, а не Киберу [/QUOTE] Почему? Вопрос к thyrex.

Ответ для Павла

Потому что
[QUOTE='PavelA;640127']Он карантины не от AVZ не кушает.[/QUOTE]

[B]Ниид хелп[/B]
Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Проблем не осталось?

Всё сделал . Проблем нет .[B]Спасибо[/B]
Папку C:\Qoobox\Quarantine с паролем virus запакованную в zip почтовые службы не принимают.
Ибо [code]Quarantine.zip содержит исполняемый файл. В целях безопасности служба ***mail не допускает отправку файлов такого типа. [/code]

Выложите на файлообменник и ссылку отправьте на мой e-mail

[QUOTE=thyrex;640378]Выложите на файлообменник и ссылку отправьте на мой e-mail[/QUOTE]

Сделано

Получено. Спасибо

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\infi\nvcpl.chm:qrnluam:$data - [B]Worm.Win32.NeKav.ck[/B] ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\nvcpl.chm:qrnluam:$data - [B]Worm.Win32.NeKav.ck[/B] ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\ra.dll - [B]Worm.Win32.NeKav.ck[/B] ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )[*] \jopasruchkoy.exe - [B]Packed.Win32.Krap.gx[/B] ( BitDefender: Gen:Variant.Zbot.10 )[/LIST][/LIST]