Порнобанер! смс М20061784625 на номер 3381

[Andrey1302]

Поймал зверя Касперский перестал запкскаться из-за какой то политики, да и все проги тоже вылетают.AVZ не грузится. Удалось кое-как сделать лог HJ после чего комп сам выключился... Помогите!!!

[Rene-gad]

Без АВЗ дела на будет: http://virusinfo.info/showthread.php?t=61596

[thyrex]

Нужно скачать образ LiveCD, в котором можно редактировать реестр. Например, ERD Commander. Потом последуют дальнейшие указания

[Andrey1302]

to Rene-gad: cmd не хочет грузится вообще! промелькивает в пол секунды и все!

[thyrex]

Сообщение №3 прочтите

[Andrey1302]

Скачал ERD Commander, записал на диск. Жду дальнейших указаний

[thyrex]

1. Загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этого параметра в своем сообщении напишите

[Andrey1302]

там прописано c:\winsp3\system32\nxm.dll

я так понял этот файл нужно удалить?

[polword]

- Переименуйте этот файл
- Очистите значение параметра AppInit_DLLs
- Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам

Добавлено через 44 секунды

Пришлите переименованный файл c:\winsp3\system32\nxm.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

[Andrey1302]

вот логи.

[DefesT]

Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\uxjj.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bcehnn.old 2nAKBMPANK','');
 QuarantineFile('C:\WINSP3\system32\nxma.dll','');
 QuarantineFile('C:\Documents and Settings\All Users.WINSP3\Application Data\Macromedia\SwUpdate\swupdate.dll.tmp','');
 DeleteFile('C:\WINSP3\system32\nxma.dll');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bcehnn.old 2nAKBMPANK');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\uxjj.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Пофиксите в Hijackthis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O15 - Trusted Zone: http://www.beonline.ru
O15 - Trusted Zone: http://www.megafoncenter.ru
O15 - Trusted Zone: http://www.megafondv.ru
O15 - Trusted Zone: http://www.megafonkavkaz.ru
O15 - Trusted Zone: http://sms.megafonmoscow.ru
O15 - Trusted Zone: http://www.megafonnw.ru
O15 - Trusted Zone: http://*.megafonsib.ru
O15 - Trusted Zone: http://www.megafonural.ru
O15 - Trusted Zone: http://www.megafonvolga.ru
O15 - Trusted Zone: http://sms.mts.ru
O15 - Trusted Zone: http://*.tele2.ru
O20 - AppInit_DLLs: C:\WINSP3\system32\nxma.dll

Сделайте новые логи по правилам

[Andrey1302]

Сделано! Но Касперский по прежнему не запускается, пишет "....из-за политики ограничения программного обеспечения...."

[polword]

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- сделайте лог Combofix

[Andrey1302]

сделано! каспер загрузился

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\winsp3\system32\adm.dll
c:\winsp3\system32\kq.dll
c:\winsp3\system32\klv.dll
c:\winsp3\system32\dduzbgbn.dll
c:\winsp3\system32\phzb.dll
c:\winsp3\system32\urwozdbz.dll
c:\winsp3\system32\vzquxxdy.dll
c:\winsp3\system32\shhbj.dll

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Andrey1302]

готово. после комбофикса, Касперский перестал автоматически загружаться, приходится грузить его через ПУСК и Deamon tools тоже, пишет " для этого приложения нужна как минимум windows 2000...."

[Andrey1302]

как быть?

[thyrex]

Попробуйте просто переустановить антивирус и Daemon Tools

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

Удалите ComboFix

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\application data\uxjj.exe - Worm.Win32.AutoRun.bhvp ( DrWEB: Trojan.MulDrop.55658, AVAST4: Win32:Malware-gen )
  2. c:\winsp3\system32\nxma.dll - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1678 )
  3. \nxma.dll - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1678 )