Баннер на номер 3381 с кодом M201017583

[suharev]

Заблокировал почти все что только можно.
AVPTool CureIt AVZ не работают. (выкидывает или зависает даже при попытке просто зайти в папку с ними)
Не могу отключить восстановление системы, в свойствах "Мой компьютер" отсутствует эта графа... не знаю как так.
Regedit.exe не запускается т.е. в ручную тоже не отключить.
Скачал Kaspersky Rescue Disk 10 , записал на cd , не работает.

[thyrex]

Нужен LiveCD с возможностью поиска и правки исправления в реестре. Например, ERD Commander

[suharev]

Ок.
Скачал, записал, запустил. Вроде работает. (Winternals ERD Commander 2005)
Что делать дальше?

[thyrex]

Пуск - Выполнить - erdregedit

Посмотрите в реестре:
ветка

Код:

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этого параметра в своем сообщении напишите

[suharev]

Да, есть такой, лежит в C:/WINDOWS/system32
Чем его открывать? В блокноте иероглифы какие то...
Или вам нужно название самого файла?

C:/WINDOWS/system32/gpeojqs.dll

[thyrex]

Выполнять из LiveCD

1. Переименовать этот файл
2. Очистить параметр AppInit_DLLs
3. Пробуйте загружаться обычным способом

Если баннер пропал, выполняйте правила + делайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[suharev]

Ок, баннер пропал!
Но по прежнему заблокирован диспетчер задач, Regedit.exe и восстановление системы, я даже не знаю включено оно у меня вообще или выключено...
(в безопасном режиме не работает, пишет что то про групповую политику и администратора домена)

после запуска ComboFix лог по адресу: C:\ComboFix.txt не появился.

[thyrex]

после запуска ComboFix лог по адресу: C:\ComboFix.txt не появился.

Ошибки выдавались какие? Попробуйте еще раз сделать

Переименованный файл запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\gpeojqs.dll

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
 QuarantineFile('C:\WINDOWS\System32\XDkHD7qg.exe','');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\WINDOWS\System32\sdra64.exe','');
 QuarantineFile('C:\Documents and Settings\Саша\txwt.exe','');
 DeleteFile('C:\Documents and Settings\Саша\txwt.exe');
 DeleteFile('C:\WINDOWS\System32\sdra64.exe');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\System32\XDkHD7qg.exe');
 DeleteFile('C:\WINDOWS\system32\~.exe');
DeleteFileMask('%windir%\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[suharev]

Переименованный файл: C:/WINDOWS/system32/gpeojqs.dll не могу найти.
100% помню новое название которое ему дал, искал через поиск и вручную, его нету.

С ComboFix разобрался, лог прикрепил снизу.

Quarantine из папки AVZ в архиве zip с паролем virus прислал.

Диспетчер задач, восстановление системы и Regedit.exe работают.

Regedit скинул с другого компьютера (посоветовал мне это сделать ComboFix, после чего тоже заработал)
Cтарый Regedit был сломан, не знаю чем.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\ufenru.dll
c:\windows\system32\hzhzhz.dll

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[suharev]

hzhzhz тот самый переименованный файл.

Сделал как вы показали, вот лог :

[thyrex]

Чисто.

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Удалите ComboFix

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый

[suharev]

Спасибо!

Карантин отправил, сейчас займусь установкой сп3 и т.д.

[thyrex]

Карантин получен. Спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\~.exe - Trojan-Spy.Win32.Zbot.roh ( DrWEB: Trojan.PWS.Panda.22, BitDefender: Backdoor.Bot.91981, AVAST4: Win32:Zbot-APD [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !