вирус блокирует абсолютно все, проблемы

**agga** · 24.12.2009, 11:58

Доброго времени суток.
На данном этапе не могу оформить заявку по прравилам, т.к. существуют проблемы с запуском утилит.
Вирус ( пока ещё не понял какой ) заблокировал SafeMode все утилиты CureIT, AVZ etc. не запускаются. В нормальном режиме компьютер уходит в перехзагрузку.
В SafeMode при вызове AVZ вылетает окно с отправкой СМС на номер 4460 с текстом K704114200 у Доктор Веба http://news.drweb.com/show/?i=304&c=9&p=0 нет такого номера.

ПРи загрузке Windows вылетает окно с пробелмой хзагрузки DLL tapi.nfo

Загрузился Winternals AVZ рабоатет в нем на 30% хватило чтобы просканирвоать вывел следующее

Abnormal EXE files association
Abnormal COM files association
Protocol prefixes are modified

Прошу помощи, сам и гуглил и форум читал, пока такого не встретил.
С уважением

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**snifer67** · 24.12.2009, 12:00

Hijackthis запускается ?

**agga** · 24.12.2009, 12:08

по ссылке из хелпа .msi не запускается, Windows завершает сеанс и выскакивает диалоговое окно приглашения начать работу.
Забыл уточнить, с Касперсокго была скача утилитка Zbotkiller при запуске были удалены два файла
# lowsec\\local.ds
# lowsec\\user.ds
собственоручно при подключении винчестера к дургому ПК и сканирвоанию, был удален sdra64.exe

запустилась версия 2.0.2
проработала с минуту и компьютер перегрузился, запускал с флешки, вот что там осталось:

В Winternals есть возможность в AVZ вставлять скрипты и наверно выполнять. Не пробовал, какой скрипт испарвит асоциации EXE и COM или это до первой перезагрузки?

**PavelA** · 24.12.2009, 12:54

Код:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe tapi.nfo beforeglav
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

В AVZ

Код:

begin
ExecuteRepair(1);
ExecuteRepair(9);
end.

**agga** · 24.12.2009, 13:19

Павел, выполнил.
Пропала RUNDLL tapi.nfo
Утилитки не запускаются, что с флешки что с самого винчестера. Такое ощущение, что я как только захожу в папку с названием AVZ, Hijackthis вирус это видет и ПК отправляется на завершение работы.
В Safe Mode тоже в завершение уходит. Заблокирвоан так же диспетчер задач.

**PavelA** · 24.12.2009, 13:25

попробуй AVZ из моей подписи.

**agga** · 24.12.2009, 14:35

Спасибо альтернативная версия помогла. Сейчас прогоняю утилитками

**agga** · 24.12.2009, 15:19

логи. После чего не рабоатет резидент NOD32 при попытке установить заново пишет запрещено политикой.

**PavelA** · 24.12.2009, 15:24

выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\aoco.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\glaide32.sys','');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

Повторить логи.
Прислать карантин по Правилам.

**agga** · 24.12.2009, 16:00

повторно, карантин отправил

**PavelA** · 24.12.2009, 16:06

Запустить файл из приложения. Если создастся drv.sys то прислать.

**agga** · 24.12.2009, 16:22

drv.sys не создался
но AVZ при сканирвоании все равно указывает путь до aoco.dll мол загружается скрыто

**PavelA** · 24.12.2009, 16:25

Восстановление системы: включено -- долго бороться будем, если не отключите.

**agga** · 24.12.2009, 17:06

отключил
выполнил get4.exe
кидаю логи

**snifer67** · 24.12.2009, 17:23

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\aoco.dll','');
DeleteFile('C:\WINDOWS\TEMP\aoco.dll');
 DeleteService('glaide32');
 DeleteFile('C:\WINDOWS\system32\drivers\glaide32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

**agga** · 25.12.2009, 10:49

Карантин сегодняшний пустой, отправляю вчерашний
и логи

**agga** · 30.12.2009, 11:34

Снова привет!
В прошлый раз не долечили, сегодня снова таже беда, только уже окошко другое для отправки СМС и что самое обидное не запускается полиморфный AVZ
P.S. В какой-то теме читал, вы подменяли userinit etc. от туда уже лечили, что-то делали. Может и мне поможете?
Hijackthis запускается через раз, опять же sdra64 но он его не фиксит.

Добавлено через 34 минуты

Добавлю, что просит отправить sms на номер 4460 с текстом К704113200 у доктора веба такого текста нет