Баннер-попрошайка 3

[23Digger]

Доброго времени суток. Сегодня при попытке запустить IE столкнулся нос к носу с неубиваемым баннером (отправьте СМС с кодом, дайте дяде денег).
Диспетчер задач заблокирован, при попытке запустить любой браузер или EXEшник вылетает эта гадость.
Установлен KIS 2009, лечение ничего не дало.
Путём копирования в папку автозапуска из резервной системы удалось запустить HijackThis (этот лог прилагаю). Изучив недавние посты со схожими темами, пофиксил строку:
O20 - AppInit_DLLs: C:\WINDOWS\system32\cRQCT.dll
Это помогло запустить AVZ (логи прилагаю).
После всего баннер уже не мозолит глаза, EXEшники и браузеры запускаются любые, но остались заблокированы диспетчер задач и судя по логам AVZ ещё много всего.

Помогите пожалуйста додавить эту пакость.

[Ingener]

1) Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\cRQCT.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)

2) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\cRQCT.dll','');
 QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
 DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
 DeleteFile('C:\WINDOWS\system32\cRQCT.dll');
 DeleteService('OMSCAN', true);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
4) Сделайте новые логи по правилам.

[23Digger]

Пофиксил в HijackThis :
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
(Только эта строку выдал HijackThis).

Выполнил скрипт в AVZ, комп перегрузился и на входе в систему требует пароль. Пароля не было отродясь. Требует и в безопасном режиме и на уч. запись администратора (тоже не было пароля).

[Ingener]

Если поле пароль оставить пустым - войти в систему получается?
Если нет - попробуйте сбросить пароль администратора при помощи советов из этой темы:
http://forum.oszone.net/thread-72251.html

[23Digger]

Спасибо за ссылку, попробовал 2 первых способа, обе программы отработали нормально, ошибок не выдавали, но ничего не помогает. При попытке входа выдается сообщение "вход в систему невозможен, т.к. домен 23DIGGER не доступен". Пробовал на резервной системе те же проги для сброса пароля- работают результативно.

Попробовал 3ю порграмму для сброса пароля - безрезультатно. Должно же как то это обходиться! Может ключ какой в реестре поправить?

[Ingener]

При загрузке системы нажмите F8 - если в появившемся меню дополнительных вариантов загрузки Windows есть вариант "Восстановление службы каталогов" - выберите его. После этого попробуйте войти в систему.
Также если есть вариант "Загрузка последней удачной конфигурации" - выбирите его и попробуйте затем войти в систему.

[23Digger]

Спасибо за поддержку, вечером продолжу танцы с бубном.

[Ingener]

Сожалею, что у вас возникла такая проблема.
Я даже не знаю почему это произошло - видимо произошёл какой-то сбой, так как скрипт к таким последствиям не мог привести.
Данная ситуацию иногда возникает, но никто не знает с чем это связано - вот пример:

Такая проблема: приходим, зараженный ПК с хрюшей, лечим курицей, ребут по окончании и тут вываливается стандартная логон-страничка с запросом пароля, хотя пароля не было. При вводе пароля (не важно какого) выводится такой эррор с заголовком:
Сообщение при входе в систему
и текстом:
Подключение к системе сейчас невозможно, так как домен ТУТ_ЕГО_ИМЯ недоступен
Такая фигня мне уже третий раз за последние два месяца попалась вот я и решил разобраться, т.к. не охота всех на реинстал посылать.
Что делал: сканил на винлокеры, менял и обнулял пароли всевозможными утилками с разных лайв сиди, создавал юзеров, пытался зайти под админом через двойное нажатие заветных клавиш... да и вообще там больше не в пароле дело, а в типе входа в систему - он там сетевой походу выставился, а не локальный. Как вернуть не заходя в систему я хз.

[23Digger]

И снова здравствуйте!
Проблему с сообщением "вход в систему невозможен, т.к. домен XXXXX не доступен" решил.
Подозрение моё пало на сервисы, стартующие при загрузке системы, и зная по собственному опыту какие приходы бывают у антивирусов Касперского, вырубил сперва их.
Используя ERD Commaner 2005, влез в реестр в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es, нашел ключи Каспа и для каждого параметр Start выставил в значение 0х4 (Disabled). Возможно хватило бы и одного ключа klbg (boot guard), но проверять по одному неохота было (загрузка Live c ERD Commander занимает время).
После этого система загрузилась без каких-либо проблем, диспетчер задач, regedit и т.п. работают. Сделал логи по правилам, карантин загрузил. Проверьте плиз, все ли чисто.

[Ingener]

Здравствуйте!
Очень рад что вам удалось решить эту проблему.
Скорее всего этот глюк был действительно из-за антивирусов Касперского - я при поиске информации находил у них на форуме подобные темы.
Это ещё раз подтверждает, что нужно в точно выполнять правила запроса о помощи:

выгрузите антивирусную программу, сетевой экран (если они у Вас есть);

Спасибо что нашли решение данной проблемы - ваш опыт пригодится другим людям при возникновение аналогичных проблем.

Скрипт полностью корректно отработал.
В ваших новых логах ничего подозрительного не обнаружено.
Проблема полностью решена?

Рекомендации:
1) Установите Internet Explorer 8.
2) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339

[23Digger]

Выгружал Каспа, как сейчас помню.
Как будто все работает, даже мелких глюков не наблюдаю, все как ДО.
Большое человеческое спасибо за помощь!!!
Свободу попугаям!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\crqct.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rwk ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, AVAST4: Win32:Malware-gen )