очередной блокиратор windows

[IFomin]

Добрый вечер. На одном из компьютеров появилась гадость, блокирующая работу всего, что только можно. для разблокировки просит смс с текстом M21720009 на номер 8353. смог сделать только лог хайджека. остальное запустить не удалось (даже в safe mode).

[pig]

Пофиксите:

Код:

O20 - AppInit_DLLs: C:\WINNT\system32\jqd.dll

Немедленно перезагрузитесь и делайте логи по правилам.

[IFomin]

О20 пробывал фиксить, при перезагрузке все то же самое как-будто что-то еще запускает этот банер. Причем даже если пофиксить эту строку, и сделать рескан она опять появится, но dll будет другая (тоже случайный набор букв).

[pig]

А если пофиксить в безопасном режиме?

[IFomin]

так только в безопасном и получается что либо сделать. Да и после фикса пробывал перегружаться как в боевой, так и безопасный режим - результат одинаков.

[pig]

Тогда, боюсь, только Live CD или диск к другой машине цеплять.

[Шапельский Александр]

В безопасном режиме попробуйте почистить файлы во всех временных папках (Temp, Temporary Internet File) Потом пробуйте фиксить, делать логи.

[IFomin]

переименовал файл из O20. Система загрузилась, снял логи. жду дальнейших указаний.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('K:\autorun.inf','');
 QuarantineFile('c:\winnt\system32\winagent.exe','');
 QuarantineFile('C:\WINNT\services.exe','');
 DeleteService('ethjyzvj');
 DeleteFile('C:\WINNT\system32\drivers\ethjyzvj.sys');
 DeleteFile('c:\winnt\system32\winagent.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','Microsoft Internet Agent');
 DeleteFile('K:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[thyrex]

+ к snifer67

переименовал файл из O20.

Его новое имя назовите. Его тоже нужно убивать

[IFomin]

Результат загрузкиФайл сохранён как 091203_174609_virus_4b17cf31ac715.zip
Размер файла 5183334
MD5 8b829a8918896b9c5550431a2772c06d

Файл закачан, спасибо!

далее новые логи

[Шапельский Александр]

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\system32\drivers\ywkqnrqs.sys','');
 DeleteService('ywkqnrqs');
 QuarantineFile('C:\WINNT\services.exe','');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINNT\services.exe');
 DeleteFile('C:\WINNT\system32\drivers\ywkqnrqs.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\winnt\system32\winagent.exe - Backdoor.Win32.Buterat.au ( AVAST4: Win32:Spyware-gen [Spy] )
  2. k:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )