Блокиратор Winndows Depatrment of Justice MoneyPak [Trojan.Win32.Patched.pp ]

[Bruzon]

Лог combofix

[thyrex]

c:\windows\SysWOW64\user32.dll запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[regist]

+ В AVZ откройте Файл - Восстановление системы - Отметьте галочкой пункт №10 - выполнить отмеченные операции.

проверьте работу безопасного режима, если работает то есть ли в нём банер ?

[Bruzon]

Карантин выслал, безопасный режим после восстановления через avz по прежнему не работает, слетает в синий экран и перезагрузку.

[thyrex]

Проведем эксперимент

1. Скопируйте (переименуйте) файл user32.dll в user32.old
2. Замените файл c:\windows\SysWOW64\user32.dll файлом c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c 02b85ccb6e\user32.dll
3. Пробуйте загрузиться и сообщите результат

[Bruzon]

Заменил файл, перезагрузился.
Поначалу мелькнуло окно папки, при нажатии правой кнопки мыши даже выпало окно свойств, чего ранее не было. Потом все исчезло, остались просто обои рабочего стола, без всего. Вышел из системы, зашел обратно - баннер появился. При нажатии на него он пропал, показав мне опять обои рабочего стола. Промелькнули даже ярлыки и панель "Пуск", потом исчезли. При нажатии кнопки "windows" мелькает открытое меню "Пуск", но не выводится полноценно, исчезает. В данный момент пишу через хром, вызванный через AVZ. Когда браузеры или папки развернуты на весь экран, не отображается нижняя панель инструментов с кнопкой "пуск" и прочими ярлыками.

[thyrex]

После перезагрузки баннер все равно появляется?

[Bruzon]

Он появляется, но когда по нему нажать курсором мышки, он исчезает. Его перекрывает утилита AVZ. Баннер пропадает и остается окно AVZ.

[regist]

- Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

посмотрим, что отловим в карантин

- - - Добавлено - - -

+ после этого пролечитесь с помощью Kaspersky Virus Removal Tool

зы. если что найдёт лог работы утилиты прикрепите, интересно посмотреть, что за гад был.

[Bruzon]

http://dfiles.ru/files/w7kz538og - вот результат проверки, не поместился в прикрепленные файлы, залил на файлообмен.
Касперским еще не прогонял, сейчас попробую.
Утилита касперского не запускается, ругается что-то на драйвера, просит загрузить комп в безопасном режиме. А это замкнутый круг, потому как в безопасном у меня не грузится. Уже думаю махнуть рукой и переустановить систему, чтобы полноценно работать. Я понимаю, что тварюга редкая и необычная, парит мозги и прячется, но комп у меня рабочий, не могу долго экспериментировать.

[thyrex]

не поместился в прикрепленные файлы

Ну так по ссылке в Шаге 4 написано, куда отправлять

- - - Добавлено - - -

Сделал это за Вас

MD5 карантина: DC10DD62C14F4B2F9BBAC4447A023934
Размер файла: 4871221 байт

http://virusinfo.info/showthread.php?t=142513
Отчет

[Bruzon]

Спасибо большое за помощь, за отчет, но я переустановил систему. Дело в том, что когда я начал проверку с помощью Kaspersky Virus Removal Tool, у меня система выдала синий экран смерти, я перезагрузился и... опять получил синий экран смерти. Терпение мое кончилось, я переустановил систему. Теперь на знаю, как найти тот вирус, который остался в старых папках. Если что-то конкретное скажете сделать - могу.

[thyrex]

Странно, что после замены Вами файла user32.dll в карантин неопознанных попал этот файл того же самого размера (из двух папок), что и до замены
Похоже, что именно он и был источником Ваших бед

Пока детектируется только Лабораторией Касперского

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\user32.dll - Trojan.Win32.Patched.pp